SPIS TREŚCI

4 HAKIN9 7-8/2008

SPIS TREŚCI

5 HAKIN9 7-8/2008 5 HAKIN9 5 HAKIN9 5 HAKIN9

NARZĘDZIA12 AVG Internet Security 8.0

Recenzja programu AVG Internet Security 8.0. Pakiet przeznaczony do kompleksowego zabezpieczenia komputera. Jego trzonem jest ceniony program antywirusowy AVG Anti-Virus znany głównie ze swej bezpłatnej wersji.

13 Gdata Internet Security 2008Recenzja programu Gdata Internet Security 2008. Zaawansowany pakiet do kompleksowej ochrony pracy w Internecie. W jego skład wchodzi oprócz programu AntiVirus 2008, osobisty firewall, filtr spamu a także moduły ochrony rodzicielskiej i filtrowania treści.

POCZĄTKI14 Wirtualny pulpit Windows MACIEJ PAKULSKI

Współczesne systemy operacyjne umożliwiają uruchomienie wielu programów jednocześnie, co może powodować problem organizacji okien na pulpicie. Rozwiązaniem tego problemu może być użycie wir tualnych pulpitów, choć mechanizm ten może także tworzyć podstawę do działania złośliwego oprogramowania.

ATAK20 Niebezpieczne przegladarki PRZEMYSŁAW ŻARNECKI

Przeglądarka internetowa jest jednym z najczęściej używanych programów. Z tej racji bywa również jednym z najczęściej atakowanych. Wiele osób nie zdaje sobie chyba do końca sprawy, jak ważne jest dbanie o jej bezpieczeństwo. Tym bardziej, że przeglądarki zawitały również do urządzeń mobilnych. Korzystamy z nich więc niemalże wszędzie. W ar tykule autor postanowił zwrócić uwagę na zagrożenia, jakie płyną z używania poszczególnych przeglądarek, jak również z niewłaściwego z nich korzystania. Ku przestrodze.

30 Hakowanie Gadu-Gadu KONRAD ZUWAŁA

Gadu-Gadu to z pewnością najpopularniejszy w Polsce komunikator internetowy. Niemal każdy z nas kiedyś się z nim zetknął, najczęściej aby porozmawiać ze znajomymi. Jednak nawet tak popularna aplikacja nie ustrzeże się błędów – czy możemy czuć się bezpieczni z Gadu-Gadu?

38 Format GIF okiem hakera MICHAŁ SKŁADNIKIEWICZ

Format GIF, oprócz podstawowej funkcjonalności oferowanej przez wszystkie standardowe formaty graficzne, udostępnia również kilka rozszerzeń umożliwiających stworzenie animacji czy też dodanie komentarza do grafiki.

jest wydawany przez Software–Wydawnictwo Sp. z o.o.

Dyrektor wydawniczy: Sylwia MałeckaRedaktor naczelny: Katarzyna Juszczyńska

katarzyna.juszczynska@software.com.plRedaktor prowadzący: Robert Gontarski

robert.gontarski@software.com.pl

Kierownik produkcji: Marta Kurpiewskamarta.kurpiewska@software.com.pl

DTP Manager: Robert ZadrożnyDTP: Tomasz Kostro, Grzegorz Laskowski

Okładka: Agnieszka MarchockaDział reklamy: adv@software.com.plPrenumerata: Marzena Dmowska

pren@software.com.pl

Wyróżnieni betatesterzy:Rafał Lysik, Michał SkładnikiewiczOpracowanie CD: Rafał Kwaśny

Druk: 101 Studio, Firma Tęgi Nakład wersji polskiej 6 000 egz.

Wydawca: Software–Wydawnictwo Sp. z o.o.

ul. Bokserska 1, 02-682 Warszawa, PolskaTel. +48 22 427 36 77, Fax +48 22 244 24 59

www.hakin9.org

Osoby zainteresowane współpracą prosimy o kontakt: cooperation@software.com.pl

Redakcja dokłada wszelkich starań, by publikowane w piśmie i na towarzyszących mu nośnikach informacje i programy były poprawne, jednakże nie bierze odpowiedzialności za

efekty wykorzystania ich; nie gwarantuje także poprawnego działania programów shareware, freeware i public domain.

Uszkodzone podczas wysyłki płyty wymienia redakcja.

Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm i zostały użyte wyłącznie w celach

informacyjnych.

Do tworzenia wykresów i diagramów wykorzystano program firmy

Płytę CD dołączoną do magazynu przetestowano programem AntiVirenKit firmy G DATA Software Sp. z o.o.

Redakcja używa systemu automatycznego składu

UWAGA! Sprzedaż aktualnych lub archiwalnych numerów pisma w cenie innej niż wydrukowana na okładce – bez zgody

wydawcy – jest działaniem na jego szkodę i skutkuje odpowiedzialnością sądową.

hakin9 ukazuje się w następujących krajach: Hiszpanii, Argentynie, Portugalii, Francji, Belgii, Luksemburgu, Kanadzie, Maroko, Niemczech, Austrii, Szwajcarii, Polsce, Czechach, Słowacji.

Prowadzimy również sprzedaż kioskową w innych krajach europejskich.

Magazyn hakin9 wydawany jest w 7 wersjach językowych:

PL ES CZ EN

IT FR DE

UWAGA!Techniki prezentowane w artykułach mogą być

używane jedynie we własnych sieciach lokalnych. Redakcja nie ponosi odpowiedzialności za niewłaściwe użycie prezentowanych technik

ani spowodowaną tym utratę danych.

SPIS TREŚCI

4 HAKIN9 7-8/2008

SPIS TREŚCI

5 HAKIN9 7-8/2008 5 HAKIN9 5 HAKIN9 5 HAKIN9

OBRONA42 Konsola NSM i HeX LiveCD GRZEGORZ BŁOŃSKI

Monitorowanie sieci i systemów informatycznych w niej działających to bardzo ważna część pracy administratorów. Choć narzędzi do monitorowania jest wiele, nie wszyscy znają konsolę NSM (Network Security Monitoring), stworzoną na potrzeby dystrybucji HeX. Grzegorz w swoim arytkule wyjaśnia co to jest NSM-Console oraz do czego służy dystrybucja HeX.

46 Zagrożenia wyścigowe CEZARY G. CEREKWICKI

Czy w coraz bardziej skomputeryzowanych świecie, w którym informatyka nie zawsze radzi sobie z trunymi do wykrycia błędami, możemy się czuć bezpieczni? Cezary opisał jakie są błędy i podatności oraz co mogą powodować. Wyjaśnia nieznane pojęcie heisenbug’a oraz czym są sytuacje wyścigu.

50 Mobilna ochrona MARCIN KLAMRA

Urządzenia mobilne zyskują coraz większą popularność. Trudno sobie wyobrazić dziś firmę, w której pracownicy nie posiadają urządzeń mobilnych, wyposażonych w bezprzewodowy inter fejs sieciowy, pracujących pod kontrolą systemu Windows Mobile. Problem w tym, by komunikację tych urządzeń z siecią firmową uczynić bezpieczną.

58 Bezpieczne instytucje finansowe GRZEGORZ PEŁECHATY

Wraz z rozwojem aplikacji webowych aspekt bezpieczeństwa stał się zagadnieniem istotnym zarówno dla projektantów oprogramowania, jak i dla użytkowników końcowych, którym z tego oprogramowania przyjdzie korzystać. Oczywistym jest , że typowe por tale internetowe mogą lekko odstąpić od tej zasady i przedłożyć prostotę użytkowania nad bezpieczeństwo, jednak w przypadku instytucji finansowych takich, jak banki, proces autoryzacji tożsamości musi zapewniać maksymalny poziom ochrony danych osobowych, informacji dotyczących stanu konta, historii rachunku itp. Celem tego ar tykułu jest obiektywne spojrzenie na obecne systemy informatyczne wcześniej wymienionych instytucji, pokazanie ich słabych i mocnych stron oraz po części przedstawienie firm, które pracują w domenie bezpieczeństwa internetowego i świadczą usługi z zakresu wdrażania kompleksowych systemów zabezpieczeń.

62 Przepełnienie bufora ARTUR ŻARSKI

Często tworząc oprogramowanie zastanawiamy się nad jego bezpieczeństwem, ale czy zawsze? Szczególnie wrażliwy na bezpieczeństwo jest sam kod naszej aplikacji, dlatego warto zwrócić uwagę na jedno z największych zagrożeń, jakie czyha na programistę – przepełnienie bufora.

67 Klub TechnicznyZagrożenie pochodzi z InternetuRaport firmy Trend Micro na temat wirusów w 2007 roku i prognoza na 2008 rok.

STAŁE RUBRYKI6 W skróciePrzedstawiamy garść najciekawszych wiadomości ze świata bezpieczeństwa systemów informatycznych i nie tylko.

10 Zawartość CDPrezentujemy zawartość i sposób działania najnowszej wersji naszej sztandarowej dystrybucji hakin9.live.

68 Zestawienie produktów SecurityWalka między użytkownikiem a wirusem wciąż trwa – na rynku jest dużo programów antywirusowych, pomiędzy którymi niezwykle trudno wybrać ten odpowiedni.

72 WywiadWywiad z Maciejem Rybackim, prezesem firmy szkoleniowej Diacom.

76 KsięgozbiórRecenzujemy książki : Bezpieczeństwo Microsoft Windows – Podstawy praktyczne oraz Analiza Ryzyka i Ochrona Informacji w Systemach Komputerowych.

78 FelietonAtaki społecznosciowePatryk Krawaczyński

82 ZapowiedziZapowiedzi artykułów, które znajdą się w następnym wydaniu magazynu hakin9

6

W SKRÓCIE

HAKIN9 7-8/2008 7

JAKUB BUCZYŃSKI

HAKIN9 7-8/2008

ZNALEZIONO NAJWIĘKSZY BOTNETDo tej pory za największy botnet uważano sieć robaka Storm , jednak najświeższe informacje wskazują, że istnieje botnet składający się z ponad 400 000 komputerów. Jest to liczba dwa razy większa niż w przypadku Storma. Nowy botnet nosi nazwę Kraken, a w jego skład wchodzą między innymi komputery z 50 firm znajdujących się na liście Fortune 500. Botnet ten jest obserwowany przez firmę Damballa, która przestrzega przed Krakenem i informuje, że jest on trudny do wykrycia, ponieważ potrafi modyfikować swój kod. Jedynie 20 procent programów antywirusowych potrafi wykryć malware odpowiedzialne za zarażenie maszyn. Przebiegły Kraken podszywa się pod plik graficzny, po jego otwarciu automatycznie kopiuje się na dysk w zmienionym formacie. Co się zatem stanie, gdy nowy botnet zarazi nasz komputer? Otóż zainfekowany system komunikuje się z serwerami wydającymi rozkazy poprzez własne protokoły wykorzystujące TCP i UDP. Ponadto malware jest wyposażony w mechanizm, który umożliwia samoczynne pobieranie aktualizacji, co pomaga mu lepiej się ukryć.

DZIURAWE OPROGRAMOWANIE FIRMY SYMANTECW laboratorium VeriSign iDefense wykryto luki w oprogramowaniu firmy Symantec, które pozwalają atakującemu na przejęcie kontroli nad komputerem użytkownika. Firmie nie pozostało nic innego, jak tylko potwierdzić istnienie błędów w swoich produktach. Luki bazują na kontrolce ActiveX o nazwie SymAData.dll i pozwalają na wykonanie złośliwego kodu z uprawnieniami zalogowanego użytkownika. Warunkiem powodzenia ataku jest wcześniejsze odwiedzenie przez użytkownika strony internetowej ze specjalnie spreparowaną zawartością. Produktami podatnymi na ten atak są: Norton AntiVirus (2006-2008), Norton Internet Security (2006-2008), Norton SystemWorks (2006-2008) i Norton 360 (v 1.0).

BŁĄD W ARKUSZU KALKULACYJNYM GOOGLEBilly Rios, specjalista od zabezpieczeń, wykrył lukę w Google Spreadsheets.

Jest to aplikacja służąca do edycji arkuszy kalkulacyjnych. Błąd pozwala na przejęcie plików cookies użytkownika poprzez odwołanie się do specjalnie spreparowanych tabel. Luka, którą wykrył Rios, bazuje na błędnych lub ignorowanych przez przeglądarkę nagłówkach Content-Type, które są zawarte w odpowiednich HTTP. Problem ten występuje w takich przeglądarkach, jak: Internet Explorer, Mozilla Firefox, Opera, Safari. Błąd pozwala napastnikowi na swobodny dostęp do niemal wszystkich usług udostępnianych przez Google na koncie ofiary.

Na szczęście Google szybko naprawiło znalezioną lukę.

PODMIENIONO STRONY RZĄDOWEDnia 16 kwietnia 2008 r. strona Ministerstwa Pracy została podmieniona przez hakera, który napisał kilka słów do odwiedzających – a może bardziej do przedstawicieli Ministerstwa.

Haker skrytykował politykę państwa oraz poziom bezpieczeństwa teleinformatycznego instytucji państwowych w naszym kraju.

18 kwietnia przypuszczalnie ta sama osoba zaatakowała stronę Kancelarii Premiera. Na stronę główną znów zawitał znany napis HACKED oraz dalsza treść, którą prezentujemy poniżej (w oryginale): kurdeale się porobiłoco nie? ;]Drugie włamanie i kolejny dowód na to, że bezpieczeństwo instytucji państwowych w naszym kraju nie idzie w dobrym kierunku :/Nie mam zamiaru włamywać się na kolejne strony, nie szukam rozgłosu i dlatego pozostanę raczej w podziemiu ;)Pozdrowienia dla premiera [;P} oraz dla całego polskiego undergrounduPokójPrawdopodobnie ataku dokonano wykorzystując dziury w nieaktualizowanym serwerze Apache. Według Zbigniewa Urbańskiego z Komendy Głównej Policji na razie nie ma pewności, czy obu ataków dokonał ten sam haker. Zaskoczony Urbański przypomina, że za atak na strony rządowe grozi do 8 lat więzienia.

Kancelaria zawiadomi policję o popełnieniu przestępstwa

– poinformował szef Centrum Informacyjnego Rządu Jacek Filipowicz. Hakerzy zaatakowali w nocy – poprzez jedną z nieużywanych stron – cztery podstrony serwisu internetowego Kancelarii Premiera, m.in. te dotyczące służby cywilnej i funduszy strukturalnych – powiedział Filipowicz.

UBUNTU 8.04 LTSPojawiła się stabilna wersja dystrybucji Ubuntu 8.04 Desktop Edition, kryjącej się również pod nazwą kodową Hardy Heron (dosł. Śmiała Czapla). Wersja Ubuntu 8.04 to wydanie LTS, będzie ono wspierane technicznie przez okres 3 lat. Posiadając już ów system, będziemy mogli go aktualizować do wersji Ubuntu 8.10, która ukaże się w październiku 2008 roku.

Hardy Heron proponuje nam między innymi najnowsze aplikacje Gnome z efektami wizualnymi, odtwarzacz z możliwością przeglądania zasobów YouTube i integracji z Myth TV, aplikacją do nagrywania sygnału video o otwartym kodzie. Nowy system Ubuntu wspiera ponad trzydziestu komercyjnych dostawców oprogramowania, np: Adobe, Google, Real Networks, Skype, Corel, Parallels, Fluendo. System można pobrać ze strony projektu lub zamówić płytę.

SLAX 6.0.6Ukazała się zaktualizowana wersja Dystrybucji SLAX 6, zbudowanej w oparciu o dystrybucję Linux – Slackware.

Głównymi zaletami systemu są niewielki rozmiar (niespełna 200 MB)

6

W SKRÓCIE

HAKIN9 7-8/2008 7

JAKUB BUCZYŃSKI

HAKIN9 7-8/2008

oraz modularna budowa. System oparty jest na środowisku graficznym KDE. Zaktualizowano bazę systemu Slackware do najnowszej wersji, eliminującej kilka błędów w bibliotece glibc , zmieniono także kolejność pakietów w celu rozwiązania problemów z działaniem gtk+2. Poza tym autor wprowadził kilka poprawek w obsłudze slink:// i usunął problem z zapamiętywaniem ustawień miksera alsa.

JĄDRO 2.6.25Ukazała się wersja 2.6.25 jądra Linuksa. Zawiera ona nowy mechanizm zarządzania pamięcią, bazujący na kontrolowaniu grupowym, którego początki pojawiły się w poprzedniej wersji kernela. Pozwala on na oddzielenie aplikacji pamięciożernej od innych, mających mniejsze zapotrzebowanie na zasoby. Podobnie jest z obsługą procesora. W nowej wersji umożliwiono kontrolowanie procesów czasu rzeczywistego. Dodatkowo wprowadzono możliwość wywłaszczania mechanizmu Read-copy-update, co pozwala na wyeliminowanie opóźnień i sprawia, ze Linux zbliża się bardziej do systemów czasu rzeczywistego. Usprawniono mechanizm spinlocków, a także mierzenie użycia pamięci przez procesy.

Wprowadzono ulepszenia w wywołaniu systemowym timerfd , wprowadzając implementację korzystającą z deskryptorów plików. Dodano mechanizm Simplified Mandatory Access Control – framework bezpieczeństwa alternatywny dla SELinuksa. Na użytek programistów przygotowano narzędzie pozwalające wykrywać opóźnienia w systemie operacyjnym. Do jądra dodano dwa rozwiązania pochodzące z technologii exec-shield opracowanej przez Red Hata. Służą one do wyboru losowych miejsc w pamięci dla aplikacji, które chcą zaalokować pamięć. Zastosowanie losowych adresów jest utrudnieniem dla hakerów, którzy dzięki temu muszą pokonać dodatkową przeszkodę przy tworzeniu exploitów wykorzystujących dziury w oprogramowaniu.Jądro 2.6.25 wspiera popularny w przemyśle protokół CAN, służący do niezawodnej komunikacji pomiędzy

urządzeniami. Wprowadzono lepszą komunikację dla regulacji termicznej w ACPI oraz mapper dla WMI (Windows Management Inter face), który jest rozszerzeniem ACPI wykorzystywanym w systemach Microsoftu. Ukazały się nowe funkcje obsługi systemu plików ext4. Zastosowano alokację wieloblokową, wsparcie dla dużych bloków, sumy kontrolne dla dziennika, obsługę dużych plików, wersjonowanie i-nodów oraz rozszerzone atrybuty w i-nodzie. Dodano wsparcie dla architektur MN10300/AM33 i Orion SoCs. Pojawiła się obsługa technologii EFI support na platformie x86-64 oraz początkowe wsparcie dla ATI r500 DRI/DRM.

Wprowadzono również trochę nowych i zaktualizowanych sterowników oraz wiele innych drobniejszych zmian i istotnych poprawek.

LUKA W ODTWARZACZU DIVX PLAYERDivX Player, odtwarzacz plików wideo znany z pakietu z popularnym kodekiem wideo DivX, posiada lukę bezpieczeństwa, która pozwala cyberprzestępcy na przejęcie kontroli nad komputerem. Usterkę tę wykrył haker securfrog , dotyczy ona plików o rozszerzeniu .srt, które mogą powodować zawieszanie się aplikacji. Jest to możliwe w wyniku niedopatrzenia skutkującego brakiem weryfikacji poprawności danych wejściowych, co pozwala na atak typu przepełnienie bufora. Wynikiem tego jest zawieszenie się programu lub, co gorsza, umożliwienie intruzowi wstrzyknięcia do komputera szkodliwego kodu.

Błąd występuje w wersji 6.7.0.22 odtwarzacza DivX Player. Istnieje jednak obawa, że poprzednie wersje także zawierają opisaną lukę.

SAFARI 3.1.1Ukazała się nowa wersja przeglądarki Safari firmy Apple dla systemu Mac OS X i Windows.

W tym wydaniu skupiono się na poprawkach bezpieczeństwa zarówno samej aplikacji, jak i silnika WebKit. Rozwiązano problem z synchronizacją w programie Safari, pozwalający stronie WWW na zmianę zawartości paska adresu bez wczytywania zawartości odpowiedniej witryny. Błąd ten mógł zostać wykorzystany do podszycia się pod zawartość uczciwej witryny, co umożliwiało przechwycenie danych uwierzytelniających lub innych informacji użytkownika. Naprawiono także błąd pozwalający doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu przez odwiedzenie specjalnie spreparowanej strony. Błędy te występowały w systemach Windows XP i Vista.

Błędy w silniku aplikacji wystąpiły nie tylko w systemie Windows, ale również Mac OS X, Pozwalają one na przeprowadzenie ataku typu Cross Site Scripting (XSS).

FIREFOX 2.0.0.14Pojawiła się nowa wersja przeglądarki Firefox 2.0.0.14. Rozwiązuje ona problem niestabilności związany z obsługą JavaScriptu, który w efekcie prowadził do całkowitego zawieszenia przeglądarki. Sama Mozilla twierdzi, że nie ma żadnych podstaw, aby twierdzić, iż luka była wykorzystywana. Firma zadecydowała jednak o załataniu przeglądarki.

CYBERPRZESTĘPCA NA ZAKUPACHJak informuje Polska Agencja Prasowa, suwalska policja poszukuje hakera, który na konto jednej z firm zamówił zakupy o wartości miliona złotych, m.in. porsche i audi, jacht oraz przedmioty erotyczne w sex-shopie. Według prokuratury, haker zamawiał towary w imieniu jednego z

8

W SKRÓCIE

HAKIN9 7-8/2008 9

JAKUB BUCZYŃSKI

HAKIN9 7-8/2008

suwalskich sklepów komputerowych. Wszystko wyszło na jaw, kiedy w sklepie komputerowym rozdzwoniły się telefony od sprzedających na jednym z portali internetowych, którzy upominali się o pieniądze za towar. Cena wszystkich kupionych przedmiotów to prawie milion złotych.

Haker dokonał włamania na skrzynkę e-mail, z której wykasował wiele informacji i danych oraz anulował kilkadziesiąt umów z kontrahentami sklepu. Kiedy właściciel firmy zorientował się o wszystkim, poinformował prokuraturę. Ta twierdzi, że ma pewne podejrzenia, kto mógł dokonać przestępstwa.

LUKA W CLAMAVFirma Secunia poinformowała o luce w popularnej aplikacji antywirusowej ClamAV. Błąd ten może być wykorzystany za pośrednictwem specjalnie spreparowanych plików wykonywalnych i umożliwia przemycenie na komputer ofiary dowolnego szkodliwego kodu. Wszystko za sprawą modułu libclamav/pe.c skanera antywirusowego ClamAV, a konkretnie mechanizmu sprawdzania długości w funkcji cli _ scanpe(). Wspomniana usterka może spowodować, iż pliki wykonywalne o rozszerzeniu exe, które skompresowane są za pomocą archiwizatora Unpack, mogą przyczynić się do przepełnienia bufora na stercie – a co za tym idzie, na wstrzyknięcie do zaatakowanego komputera złośliwego kodu, który umożliwi przejęcie kontroli nad urządzeniem.

Na oficjalnej stronie projektu opublikowano nową wersję aplikacji ClamAV (0.93), w której opisywana luka została załatana. Podatność występuje w wersji 0.92.1 oraz starszych.

NIEUDOLNE ŁATANIE QUICKTIMEMogło się wydawać, że wydanie nowej aktualizacji dla odtwarzacza multimedialnego Apple QuickTime przyniesie oczekiwaną poprawę stanu bezpieczeństwa (aktualizacja rozwiązuje aż 11 błędów). Okazuje się jednak, że korporacja dokonała uaktualnienia niedbale. Ekspert bezpieczeństwa Davic Maynor przeprowadził test wersji

7.45 za pomocą napisanego przez siebie narzędzia Looking Glass i wykrył, że stosowany przez Windows Vista mechanizm Address Space Layout Randomization, mający za zadanie chronić przed atakami poprzez przydzielanie losowo wybranych obszarów pamięci, został wyłączony przez Apple'a tylko w przypadku niektórych bibliotek programu. Niedokładność Apple'a powoduje, że napastnik w dalszym ciągu może doprowadzić do błędu przepełnienia bufora w QuickTime, co w konsekwencji umożliwia atak na system.

SZKODNIK EBAYA ZŁAPANYHaker który wielokrotnie włamywał się do sieci eBay, został aresztowany w Bukareszcie przez rumuńskich przedstawicieli prawa. Cyberprzestępca, ukrywający się pod pseudonimem Vladuz, to 20-letni Vlad Constantin Duiculescu. Rumuński sąd nakazał tymczasowy areszt podejrzanego na 29 dni. W ubiegłym roku Vladuzowi udało się otrzymać informacje, które pozwoliły mu uzyskać dostęp do sekcji eBaya przeznaczonej dla jego pracowników. Dzięki temu pojawił się na forach jako oficjalny przedstawiciel serwisu aukcyjnego. Vladuz twierdził, iż miał dostęp do jeszcze silniej strzeżonych sekcji eBay. Przedstawiciele serwisu ostro zaprzeczyli jego twierdzeniom, utrzymując, iż cyberprzestępca miał dostęp jedynie do nielicznych sekcji i nigdy nie pojawił się tam, gdzie przechowywane są numery kart kredytowych klientów.

eBay szacuje, iż działalność Vladuza kosztowała firmę milion dolarów.

GNOME 2.23.1Wydano pierwszą wersję deweloperską stabilnego GNOME 2.24, jednego z najpopularniejszych środowisk graficznych przeznaczonych dla systemu Linux.

Zgodnie z zasadą publikowania nowych wersji, w przypadku gdy druga liczba w nazwie jest nieparzysta,

jest ona wersją rozwojową, w której rozwijane jest wszystko, łącznie z nowymi funkcjonalnościami – i która dodatkowo przy uzyskaniu stabilności oznaczana jest numerkiem parzystym. W GNOME 2.23.1 znajdują się głównie poprawki wykrytych błędów i aktualizacje tłumaczeń. Zmiany obejmują miedzy innymi takie aplikacje, jak klient VoIP Ekiga, klient poczty Evolution, odtwarzacz multimedialny Totem, przeglądarka obrazów Eog, a także inter fejs wprowadzania tekstu Dasher, aplety, gry, menu i skórki.

WINDOWS XP SP3 DOSTĘPNYZakończono prace nad dodatkiem Service Pack 3 dla Windows XP. Oficjalnie ukaże się on 29 kwietnia na stronie centrum pobierania Microsoftu oraz usługi Windows Update. Pojawiły się jednak głosy sprzeciwu ze strony subskrybentów TechNetu i MSDN, że kolejny raz (tak samo, jak w przypadku SP1 do Visty) muszą oni niepotrzebnie czekać na pobranie dodatku – i to nawet o trzy dni dłużej.

Być może te argumenty przekonały Microsoft do wydania subskrybentom TechNetu i MSDN dodatku Service Pack 3 już teraz.

SOLARIS 10 5/08 WYDANYUkazała się nowa wersja systemu operacyjnego firmy Sun, o nazwie Solaris 10, oznakowana symbolem 5/08 i przeznaczona na platformę Sparc, x86 i x86-64. Wersja ta zawiera wiele zmian i ulepszeń w stosunku do poprzednich edycji. Najważniejsze z nich to m.in. ulepszenie wykorzystania zasobów nowoczesnych procesorów Xeon, AMD64, UltraSPARC T1 i T2 oraz obsługi zarządzania energią w procesorach

8

W SKRÓCIE

HAKIN9 7-8/2008 9

JAKUB BUCZYŃSKI

HAKIN9 7-8/2008

Intel i AMD. Poprawione zostały również: narzędzie do administracji Sun StorEdge Traf fic Manager, mechanizm służący do aktualizacji Solaris Live Upgrade oraz protokoły druku Internet Printing Protocol (IPP) i Open Printing API (PAPI). Z systemem operacyjnym w ręce użytkownika trafia także platforma programistyczna Sun Studio 12, aplikacja do tworzenia klastrów HPC Cluster Tools 7.1 oraz pakiet NetBeans IDE 6.0.1. Solaris 10 5/08 można pozyskać na dwa sposoby: pobrać z oficjalnej strony producenta lub zakupić nośnik CD/DVD (koszt 35 USD).

MICROSOFT ZAPRASZA HAKERÓWPrzedstawiciele firmy Microsof t obiecali na konferencji ToorCon w Seattle, iż firma nie będzie stosowała żadnych kar wobec etycznych hakerów. Ten nowatorski pomysł tłumaczy Katie Moussouris, strateg zabezpieczeń w firmie Microsof t: Cała filozofia polega na tym, że jeśli ktoś jest na tyle miły, że wskazuje nasze słabe strony, to tak naprawdę robi nam przysługę – należy mu więc podziękować, a nie wołać policję. Jest to bardzo odważny i mało popularny krok w walce z hakerami. Co to oznacza dla hakerów? Dzięki temu będą oni mogli eksperymentować bez konsekwencji prawnych. Jest jednak warunek – nie mogą powodować faktycznych zniszczeń. Po wykryciu luk hakerzy będą mogli współpracować z Microsof tem

.AVAST! 4.8Pojawiła się nowa wersja oprogramowania antywirusowego firmy ALWIL Sof tware - Avast! 4.8. W poprzedniej wersji 4.7 znaleziono lukę bezpieczeństwa umożliwiającą lokalnym użytkownikom rozszerzenie uprawnień systemowych. Nowe wydanie 4.8 eliminuje tę wadę, a także wprowadza nowe funkcje ochrony przed rootkitami i spyware'em.

Avast! 4 Home Edition to w pełni funkcjonalny pakiet antywirusowy przeznaczony dla użytkowników domowych. Program posiada kilka modułów umożliwiających kompleksowe

zabezpieczenie przed wirusami i groźnymi programami. avast! posiada dwa skanery, jeden standardowy i drugi działający w linii komend, zaawansowany inter fejs użytkownika.

WIRESHARK 1.0Po prawie dziesięciu latach prac, deweloperzy projektu Wireshark wydali w końcu oficjalną wersję 1.0 tego popularnego snif fera dostępnego na wiele systemów operacyjnych, kiedyś znanego też jako Ethereal.

Wireshark jest darmowym i do tego bardzo popularnym narzędziem do analizy ruchu sieciowego. Program używany jest przez profesjonalistów zajmujących się sieciami na całym świecie. Pozwala on na analizowanie, wykrywanie błędów, rozwój protokołów. Stosowany jest również w celach edukacyjnych.

SUPERKOMPUTERDO ZADAŃ SPECJALNYCHW Centrum Informatycznym Trójmiejskiej Akademii Sieci Komputerowej został uruchomiony najszybszy superkomputer w Europie Środkowo-Wschodniej – Galera. W uroczystości wziął udział Paul S. Otellini, prezes i dyrektor generalny firmy Intel Corporation. Moc obliczeniowa superkomputera Galera i projekty, w których będzie on wykorzystywany, wpłyną bezpośrednio na nasze codzienne życie – od medycyny i nowych sposobów leczenia raka do zwiększenia bezpieczeństwa lotów. Dzięki nowoczesnej technologii wyniki badań będą dostępne o wiele szybciej, niż ich realizacja metodami laboratoryjnymi, a przy tego typu projektach właśnie czas ma największe znaczenie – powiedział dr Paweł Gepner z Intel EMEA High Per formance Computing Architecture Specialist .

Superkomputer mieści się w specjalnie zaprojektowanym pomieszczeniu Centrum Informatycznego Trójmiejskiej Akademickiej Sieci Komputerowej w Gdańsku. Klaster jest opar ty na 1400 procesorach czterordzeniowych Intel Xeon, co daje łącznie liczbę 5400

rdzeni. Sprzęt waży 7 ton ma 17 metrów długości, 8 kilometrów kabli i bilionową liczbę tranzystorów. Instalacja superkomputera rozpoczęła się w listopadzie 2007 r. i trwała aż do stycznia tego roku. Galera potrafi wykonać 50 bilionów działań matematycznych (takich jak dodawanie lub mnożenie liczb zmiennoprzecinkowych) w ciągu sekundy! . Wykonanie takiej liczby działań zajęłoby wszystkim ludziom na Ziemi około 1000 lat .

Jestem dumny, że Intel Technology uruchamia superkomputer o największej mocy obliczeniowej w tym regionie - przyznał Paul S. Otellini, główny szef firmy Intel.

CRACKER ZROBIŁ NA KONTO FIRMY ZAKUPY ZA MILION ZŁOTYCHJak poinformowała Polska Agencja Prasowa, Suwalska policja poszukuje crackera, który na konto jednej z firm zamówił zakupy o wartości miliona złotych, m.in. porsche warte ponad pół miliona zł, audi, jacht oraz przedmioty erotyczne w sex-shopie. Według prokuratury, włamywacz zamawiał towary w imieniu jednego z suwalskich sklepów komputerowych. Cracker włamał się na skrzynkę e-mail, z której wykasował wiele informacji i danych oraz anulował kilkadziesiąt umów z kontrahentami sklepu. Kiedy właściciel firmy zorientował się o wszystkim, poinformował prokuraturę. Ta twierdzi, że ma pewne podejrzenia, kto mógł dokonać przestępstwa.

FRIBET ODSZYFROWANYSpecjaliści zbadali konia trojańskiego odpowiedzialnego za ostatnią falę ataków na witr yny WWW popierające Tybetańczyków oraz osoby odwiedzający te witr yny. Okazało się, że malware o nazwie Trojan.Fribet oprócz możliwości kontroli zainfekowanego komputera pozwala także na wykonywanie zapytań SQL. Daje to możliwość składowania niebezpiecznego kodu na komputerze ofiary w celu ponownego użycia w przyszłości. Specjaliści twierdzą, że Fribet może wykorzystywać pewien szczególny rodzaj ataków SQL Injection.

10

NA CD

HAKIN9 7-8/2008 11

HAKIN9.LIVE

HAKIN9 7-8/2008

Na dołączonej do pisma płycie znajduje się dystrybucja hakin9.live (h9l) w wersji 4.0.3 on BackTrack2.0, zawierająca przydatne narzędzia, dokumentację, tutoriale i materiały dodatkowe do artykułów.

ZAWARTOŚĆ CD

Aby zacząć pracę z hakin9.live, wystarczy uruchomić komputer z CD. Po uruchomieniu systemu możemy zalogować się jako użytkownik hakin9 bez podawania hasła.

JAK ZACZĄĆPROGRAMY

• Advanced Lotus Password Recovery,• Advanced Office Password Breaker,• Advanced WordPerfect Office Password

Recovery,• AnonymousBrowsingToolbar, • Twister Anti-TrojanVirus, • StealthKeylogger, • kaspersky Internet Security.

FILMY INSTRUKTAŻOWEDziewiąty odcinek: XSS-Cross Site Scripting. Kolejny odcinek z serii filmów instruktażowych, przedstawiający najpopularniejsze metody ataków na strony internetowe.

BACKTRACK2.0 NA TWOIM PENDRIVIEUtwórz partycję na pendrivie:

# fdisk /dev/sda

Uwaga: Jeśli posiadasz dyski SCSI lub SATA, sprawdź gdzie są umieszczone – /dev/sda może być Twoim dyskiem systemowym!

Wykasuj wszystkie istniejące partycje (wciśnij d oraz [Enter ] , później wprowadź ilość partycji – od 1 do 4). Aby sprawdzić obecny stan partycji, wprowadź p. Później zacznij tworzyć nową partycję FAT32 – o wielkościokoło 800 MB. W tym celu wciśnij n, zatwierdzając klawiszem [Enter ]. Zacznij od początku i ustal wielkość tworzonej partycji lub wciśnij jeszcze raz [Enter ], aby użyć całego urządzenia. Rodzaj partycji musi zostać zmieniony na FAT32 – wprowadź t i odpowiedz b na pojawiające się pytanie. Musimy teraz sprawić, żeby nowa partycja

była bootowalna. Wpisz a, a następnie wprowadź numer partycji – 1. Teraz wpisz w celu zapamiętania zmian.

PlikiNa początku utwórz na nowej partycji system plików:

# mkfs.vfat /dev/sda1

Teraz zdefiniuj punkt montowania tworzonego systemu plików:

# mount /dev/sda1 /mnt/usb

Skopiuj pliki hakin9 live do przygotowanej lokalizacji:

# cp -a /mnt/cdrom/* /mnt/usb/

Niektóre struktury plików powinny zostać usunięte:

# cd /mnt/usb/

# rm boot/vmlinuz

# rm boot/initrd.gz

W /mnt/usb powinien znajdować się plik syslinux.cfg. Po tej operacji wykonaj następujące polecenia:

# umount /dev/usb/

# syslinux /dev/sda1

W przypadku problemów wydaj polecenie:

# syslinux-nomtools /dev/sda1

Zrestartuj teraz maszynę i w BIOSie ustaw bootowanie z USB–HDD.

Gotowe, utworzyłeś w pełni funkcjonalny system na swoim pendrivie. Pamiętaj, że bootowanie z USB jest obsługiwane jedynie przez nowe płyty główne. Obecnie cała operacja jest możliwa tylko z pendrive'ami, posiadającymi sektory o rozmiarze 512 bajtów.

ADVANCED LOTUS PASSWORD RECOVERY Program odzyskuje hasła chroniące dokumenty utworzone w każdej wersji IBM/Lotus SmartSuite. Rozpoznaje i odzyskuje hasła do dokumentów: Lotus Organizer, Lotus WordPro, Lotus 1-2-3, Lotus Approach oraz Freelance Graphics, podobnie, jak hasła FTP i do proxy w komponentach Lotus SmartSuite.

ADVANCED WORDPERFECT OFFICE PASSWORD RECOVERY Corel WordPerfect Office to powszechny wybór wielu użytkowników korporacyjnych i domowych. Atrakcyjna cena oraz profesjonalne narzędzia sprawiają, że program, dzięki najwyższej jakości za najniższą cenę, zadowala każdego

10

NA CD

HAKIN9 7-8/2008 11

HAKIN9.LIVE

HAKIN9 7-8/2008

roku miliony klientów. Mimo możliwości zablokowania dokumentów hasłem, Corel nie zapewnia narzędzi do odzyskania zgubionego hasła. Co zrobić, kiedy potrzebujemy użyć takiego rozwiązania?

Aplikacja Advanced WordPerfect Office Password Recovery pozwala na szybkie i automatyczne uzyskanie dostępu do chronionych hasłem dokumentów Corel Office. Advanced WordPerfect Office Password Recovery pozwala na szybkie odzyskanie hasła zabezpieczającego dokumenty stworzone w Corel Office WordPerfect, Quattro Pro oraz Paradox – bez długich prób i wprowadzania zaawansowanych ustawień. Wystarczy po prostu uruchomić narzędzie i wybrać przycisk Open a hasło uzyskamy w mgnieniu oka.

ADVANCED OFFICE PASSWORD BREAKERAdvanced Office Password Breaker (AOPB) – program do odczytywania dokumentów Word 97/2000 i Excel 97/2000, zabezpieczonych przed odczytem przez hasło. Program gwarantuje otwarcie dokumentu niezależnie od stopnia trudności hasła i jego długości. Uzyskuje się to dzięki przeszukiwaniu całej przestrzeni 40-bitowych kluczy szyfrowania. Tak niewielką długość klucza

stosuje się w Office 97/2000 z powodu ograniczeń eksportowych. Ponieważ długość klucza szyfrowania wynosi 40 bitów, całkowite przeszukiwanie wszystkich kluczy zajmuje około dwóch tygodni na komputerze z procesorem klasy P-III, taktowanym częstotliwością 1 GHz.Po znalezieniu klucza możliwy jest odczyt dokumentu i usunięcie wszystkich ustawionych haseł.

KASPERSKY INTERNET SECURITYPakiet zapewnia kompleksową ochronę komputerów PC przed wszelkimi rodzajami zagrożeń. Oparty jest o program antywirusowy Kaspersky Anti-Virus 7.0. Wyposażony jest również w osobistą zaporę ogniową. Użytkownicy laptopów mogą definiować odrębne tryby pracy zapory dla różnych sieci – Internet, sieć lokalna oraz sieć zaufana. Program pozwala także na pracę w trybie ukrycia, w którym komputer użytkownika będzie całkowicie niewidoczny w sieci. Nad pocztą czuwa filtr antyspamowy. Pakiet został również wyposażony w nowy moduł kontroli rodzicielskiej. Dzięki systemowi analizy lingwistycznej oraz możliwości wykorzystywania czarnych list moduł ten pozwala rodzicom na kontrolowanie poczynań swoich pociech w Sieci. Produkt zawiera także nową funkcję, pozwalającą na ochronę poufnych danych użytkownika (adresów e-mail, haseł, informacji o kartach kredytowych itp.) przed kradzieżą.

STEALTH KEYLOGGERAplikacja oferuje kompleksowe rozwiązanie dla domu i biura, zawiera wiele zaawansowanych narzędzi, które pozwolą na monitoring osób używających Twojego komputera, śledzenie wiadomości oraz wizyt na różnych stronach internetowych. Wszystkie te zaawansowane możliwości powodują, że produkt stał się bardzo popularny wśród pracodawców, którzy mogli inwigilować działania swoich pracowników podczas godzin pracy. Jest także wykorzystywany w celach prywatnych – przez rodziców, w celu sprawdzenia, po jakich stronach internetowych sur fują ich dzieci.

ANONYMOUS BROWSING TOOLBARProgram jest łatwy w użyciu, służy do ochrony prywatności w Sieci. Ukrywa adres IP dzięki rozdzielaniu ruchu sieciowego przez zdalny serwer.

TWISTER ANTI-TROJAN VIRUSAplikacja oferująca zintegrowaną ochronę systemu, skanująca komputer w poszukiwaniu wirusów, trojanów i innych rodzajów złośliwego kodu, które wkradają się do systemu przez Internet, e-mail czy otrzymane zarażone pliki. Program zapewnia ochronę na bieżąco dzięki ciągłym aktualizacjom. Wśród innych funkcji można znaleźć: automatyczne skanowanie, kwarantannę podejrzanych plików, a także funkcję logowania własnej aktywności. Ochrona rejestru Windows zapobiega jakimkolwiek nieautoryzowanym jego modyfikacjom.

PODZIĘKOWANIASerdeczne podziekowania dla dystrybutora Softkey Poland Sp. z o.o. http://www.softkey.pl/ za udostepnienie programów na płytę, która jest dołączona do magazynu.

Rysunek 2. Advanced Office Password Breaker

Rysunek 1. Advanced WordPerfect Office Password Recovery

Żeby uruchomić swój komputer z płyty hakin9.live, ustaw swój BIOS na bootowanie z napędu CD-ROM. Po dokonanych zmianach uruchom ponownie komputer. Uruchomi się dystrybucja hakin.live, na której możesz przećwiczyć techniki prezentowane w tutorialach. Upewnij się, że sprawdziłeś desktopowe foldery – zawierają wiele dodatkowych materiałów. Zawartość CD można również przejrzeć w systemie Windows.

12

NARZĘDZIA

HAKIN9 7-8/2008 13

NARZĘDZIA

HAKIN9 7-8/2008

AVG to produkt firmy AVG Technologies, zapewniający kompleksową ochronę komputera przed atakami z Sieci,

wirusami, złośliwym oprogramowaniem oraz spamem. Użytkownik może zarządzać wszystkimi składnikami pakietu korzystając z panelu administracyjnego (Przegląd systemu). Licencja jednostanowiskowa na okres 1 roku kosztuje 51,74 euro. Produkt można pobrać bezpośrednio ze strony producenta (podobnie, jak 30-dniową wersję Trial).

Instalując AVG Internet Security, mamy możliwość wyboru języka instalacji, a więc i języka interfejsu programu. Do wyboru mamy kilka języków, m.in. polski, angielski oraz niemiecki.

Producent przygotował do wyboru dwa typy instalacji: standardową – zalecaną dla większości użytkowników oraz zaawansowaną, rekomendowaną użytkownikom zaawansowanym.

Wybierając instalację zaawansowaną, możemy sami zdecydować, które ze składników pakietu AVG zostaną zainstalowane na naszym komputerze. I tak, mamy do wyboru: Zaporę AVG, Ochronę sieci WWW, Dodatkowe instalowane języki, Skaner poczty e-mail oraz Anti-Spam. W następnym kroku mamy możliwość włączenia modułu AVG Security Toolbar. Składnik ten zapewnia ochronę przed sfałszowanymi witrynami – phishingiem. Po zakończeniu instalacji przechodzimy do kroku, w którym ustalamy częstotliwość aktualizacji programu – standardowo co 4 godziny – oraz porę codziennego skanowania. Następnie aktywujemy produkt AVG. Po tej czynności warto włączyć opcję zgłaszania niebezpiecznych witryn do laboratorium AVG. Kolejny krok to wybór profilu sieciowego naszego komputera. Przewidziane przez producenta możliwości to: Pojedynczy komputer, Komputer w domenie, Komputer przenośny oraz Sieć w domu lub małym biurze. W tym momencie zalecane jest wykonanie skanowania komputera, aby mieć pewność że korzystanie z niego jest bezpieczne. Do wyboru są trzy metody skanowania: Pełne skanowanie, Najczęściej skanowane katalogi – tj. katalogi programów oraz systemowe, Skanowanie

wybranych obszarów. Zwykle większość antywirusów po instalacji wymaga zrestartowania komputera. W AVG nie jest to konieczne.

Zaraz po zakończeniu instalacji AVG wykryje nową sieć (połączenie sieciowe). W tym momencie profil sieciowy jest niezdefiniowany, a więc mamy możliwość zablokowania całego ruchu sieciowego, zezwolenie na dostęp do sieci dla wszystkich aplikacji oraz przełączenie na profil sieciowy, który wcześniej wybraliśmy. W warunkach normalnej pracy zalecane jest skorzystanie z tej ostatniej opcji. W momencie, gdy dowolny program będzie próbował połączyć się z Internetem, zostanie wyświetlone okienko dialogowe z możliwością odblokowania dostępu do Internetu bądź zablokowania dostępu do Sieci. Zaznaczając pole Zapisz odpowiedź sprawimy, że Zapora AVG nie będzie więcej monitować o próbie połączenia z Siecią wykonywaną przez tę konkretną aplikację. Jest to tzw. reguła firewalla, a AVG będzie wprowadzał reguły firewalla dla każdego programu żądającego połączenia z Internetem. W przypadku, gdy zachodzi obawa, że na komputerze zainstalowane jest złośliwe oprogramowanie, zalecane jest wybranie opcji blokowania całego ruchu sieciowego i stopniowe zezwalanie na dostęp do sieci dla zaufanych aplikacji. W module ochrony rezydentnej możemy ustawić opcję automatycznego leczenia zarażonych plików (!), skanowania plików przy zamykaniu lub skanowania sektorów rozruchowych dysków wymiennych.

Podsumowując, pakiet AVG Internet Security 8.0 dobrze spełnia swoje zadanie ochrony przed zagrożeniami z Internetu, złośliwym oprogramowaniem, spamem, równocześnie wymagając minimum interakcji z użytkownikiem. Obsługa programu jest intuicyjna, łatwo można włączyć czy wyłączyć poszczególne moduły. W sytuacji, gdy wszystkie składniki pakietu są włączone, można odczuć nieduże spowolnienie pracy komputera. Ostatecznie jednak można włączyć jedynie niezbędne komponenty. Użytkownik komputera instalując AVG Internet Security 8.0 może mieć pewność, że jego maszyna będzie dobrze chroniona.

Producent

AVG Technologies, dawniej GrisoftSystemWindows 2000, Windows XP, Windows VistaTypInternet Security Strona producentahttp://www.quantus.plRecenzentRafał Lysik

AVG Internet Security 8.0

«««««OCENA

12

NARZĘDZIA

HAKIN9 7-8/2008 13

NARZĘDZIA

HAKIN9 7-8/2008

GData Internet Security 2008 BOX otrzymujemy w kartonowym pudełku, w którym znajdziemy: 140-stronicowy

podręcznik (choć powiedziałbym, że to raczej książka/kompendium), 2 ulotki (szybki start , dzięki któremu nie musimy od razu czytać całego podręcznika oraz ulotkę reklamową, informującą nas o innych wersjach pakietu), kartę – zdrapkę z kluczem rejestracyjnym oraz oczywiście płytę z programem. W tym miejscu należy wspomnieć, iż na płycie znajdziemy dodatkowo bootowalną wersję antywirusa działającą pod Linuksem, dzięki czemu możemy przeskanować komputer w poszukiwaniu wirusów jeszcze przed instalacją.

Na pakiet GData Internet Security 2008 składają się: program antywirusowy korzystający z dwóch silników skanujących (konkretnie Kaspersky oraz avast), firewall, program antyspamowy, filtr stron sieci Web oraz rozbudowany, lecz prosty w konfiguracji moduł kontroli rodzicielskiej, w którym mamy możliwość blokowania dostępu do stron WWW stanowczo nie przeznaczonych dla dzieci (pornografia/przemoc/sekty/piractwo) oraz ograniczania czasu spędzanego przy komputerze.

Instalacja przebiega dwuetapowo, jest prosta i bezproblemowa. Sprowadza się praktycznie do przysłowiowego klikania dalej, dalej, dalej, zakończ . Po restarcie komputera firewall przygotuje listę reguł i już można uruchomić program po raz pierwszy.

Po pierwszym uruchomieniu program zaleca aktualizację poprzedzoną jednorazową rejestracją klucza ze zdrapki, dzięki czemu otrzymujemy login i hasło wymagane do pobierania aktualizacji.

W ciągu pierwszych dni zapora będzie tworzyła reguły podczas uruchamiania programów. Tutaj należy także wspomnieć o trybie Autopilot , który włącza się automatycznie podczas uruchamiania pełnoekranowej aplikacji, np. gry, dzięki czemu podczas rozgrywki program nie będzie męczył nas pytaniami o zgodę na połączenie.

W przypadku, gdy chcemy sprawdzić nasz system na obecność wirusów jeszcze przed instalacją pakietu (lub gdy – co gorsza – nasz komputer jest już zainfekowany), możemy użyć skanera z płyty instalacyjnej, która jednocześnie jest bootowalną płytą z okrojoną wersją skanera. Po uruchomieniu komputera z płyty mamy do dyspozycji maksymalnie uproszczone środowisko graficzne XFCE, skaner obsługiwany jednym kliknięciem oraz linię komend. Niestety, bazy sygnatur są nieaktualne – lecz nie jest to problemem, jeśli korzystamy z połączenia z Internetem dostarczanego przez zewnętrzny router (modem UPC, osiedlówka, Liveboksy). Dzięki temu możemy bez problemu zaktualizować bazy, nawet, jeśli nie mamy jeszcze zarejestrowanej subskrypcji.

Pakiet dostępny jest w trzech wersjach :

• GData Antivirus 2008 – zawiera tylko skaner antywirusowy,

• GData InternetSecurity 2008 – obejmuje wszystkie składniki wymienione w powyższej recenzji,

• GData TotalCare 2008 – zawiera zestaw programów z wersji InternetSecurity plus narzędzia optymalizujące komputer i służące do wykonywania kopii zapasowych danych.

Obsługę programu oraz pracę z nim oceniam na bardzo łatwą i przyjemną. Użytkownicy chcący maksymalnie dostosować program do swoich potrzeb mają możliwość np. tworzenia własnych reguł firewalla, profili skanowania oraz ustawień innych modułów programu.

Producent

GDataSystemWindows 2000, Windows XP, Windows VistaTypInternet SecurityStrona producentahttp://www.gdata.pl/portal/PL/RecenzentDamian Klimek

Gdata Internet Security 2008

««««OCENA

14

POCZĄTKI

HAKIN9 7-8/2008

Wirtualny pulpit jest mechanizmem dość powszechnie stosowanym w wielu dystrybucjach systemu Linux. Używając go mamy wrażenie, jakbyśmy dysponowali kilkoma pulpitami. Dzięki temu możemy podzielić aplikacje na grupy i w razie potrzeby przełączać się między nimi. W ten sposób łatwo możemy zarządzać oknami. Zasada działania wir tualnych pulpitów jest dość prosta.

Poszukujemy wszystkich widocznych okien na pulpicie, zapamiętując ich położenie oraz wymiary, a następnie ukrywamy je. W ten sposób powstaje nowy wir tualny pulpit , na którym możemy swobodnie pracować. Gdy zechcemy powrócić do poprzedniego pulpitu, chowamy bieżące okna, zapamiętując ich wymiary i położenie, a przywracamy widoczność okien wcześniej ukrytych. Na takiej zasadzie przełączamy się między wir tualnymi pulpitami.

Cała trudność polega na znalezieniu sposobu zarządzania oknami pulpitu jako jednym obiektem. Z pomocą przychodzi nam WinApi.

Ar tykuł ten ma na celu zilustrowanie mechanizmu wir tualnych pulpitów jako metody polepszającej komfort pracy z systemem Windows, a także pokazanie, jak łatwo użyteczną technikę można wykorzystać w sposób szkodliwy. Projekt zrealizujemy pod plat formą .NET. Do napisania kodu

MACIEJ PAKULSKI

Z ARTYKUŁU DOWIESZ SIĘjak działają wirtualne pulpity,

jak zarządzać oknami w Windows.

CO POWINIENEŚ WIEDZIEĆznać podstawy projektowania zorientowanego obiektowo.

wykorzystamy darmowe środowisko Visual C# 2008 Expres Edition.

Klasa obsługująca wirtualny pulpitTworzymy nowy projekt i nadajemy mu odpowiednią nazwę. Dodajemy klasę, która będzie reprezentować wirtualny pulpit. Zaczniemy od importu niezbędnych funkcji WinApi. Ilustruje to kod z Listingu 1.

Aby móc skorzystać z DllImport , musimy najpierw dodać przestrzeń nazw System.Runtime.InteropServices. Działanie poszczególnych zaimportowanych funkcji jest następujące:

• GetDesktopWindow – funkcję wykorzystujemy do uzyskania uchwytu do pulpitu,

• GetTopWindow – funkcja zwraca uchwyt do okna będącego najwyżej w porządku osi z (ang. z order ). Jako parametr przekazujemy uchwyt do okna będącego oknem nadrzędnym (ang. parent window) w stosunku do poszukiwanego okna,

• GetWindow – funkcja zwraca uchwyt do okna, które jest w specjalnej relacji z wybranym oknem. Pierwszy parametr określa relację między oknami, drugi parametr to uchwyt do okna, z którym poszukiwane okno jest w relacji określonej pierwszym parametrem,

Stopień trudności

Wirtualny pulpit WindowsWspółczesne systemy operacyjne umożliwiają uruchomienie wielu programów jednocześnie, co może powodować problem organizacji okien na pulpicie. Rozwiązaniem tego problemu może być użycie wirtualnych pulpitów, choć mechanizm ten może także tworzyć podstawę do działania złośliwego oprogramowania.

15

WIRTUALNY PULPIT WINDOWS

HAKIN9 7-8/2008

• IsWindowVisible – funkcja sprawdza, czy okno jest widoczne (czy ma ustawiony styl okna WS_VISIBLE),

• FindWindowEx – funkcja zwraca uchwyt do okna. Pierwszy parametr to uchwyt do okna będącego oknem nadrzędnym w stosunku do poszukiwanego okna, drugi parametr określa uchwyt okna, od którego rozpocznie się przeszukiwanie w porządku osi z, trzeci parametr określa nazwę klasy okna, a czwarty jest nazwą okna,

• BeginDeferWindowPos – przydziela pamięć dla struktury opisującej położenie okien, których liczba jest przekazywana jako parametr. Funkcja zwraca uchwyt do struktury,

• DeferWindowPos – funkcja zmienia atrybuty okna (takie, jak położenie, rozmiar, widoczność), jako parametry przyjmuje ona kolejno:• uchwyt do struktury

opisującej okna uzyskiwany przy pomocy wywołania BeginDeferWindowPos,

• uchwyt do okna, którego atrybuty chcemy zmienić,

• uchwyt do okna, które poprzedza konkretne okno w porządku osi z. Możliwe jest także zastosowanie stałej, która będzie określać położenie okna względem innych,

• współrzędna x lewego górnego rogu okna,

• współrzędna y lewego górnego rogu okna,

• szerokość okna w pikselach,• wysokość okna w pikselach,• flagi.

Wywołanie DeferWindowPos powoduje zaktualizowanie struktury będącej pierwszym parametrem funkcji, dzięki czemu zawiera ona informacje o oknie, którego uchwyt przekazujemy jako drugi parametr.

Funkcja zwraca uchwyt do zaktualizowanej struktury.

• EndDeferWindowPos – wywołanie funkcji powoduje jednoczesną zmianę atrybutów okien, określonych przez strukturę, której uchwyt przekazujemy jako parametr.

Kolejnym krokiem będzie zdefiniowanie stałych, których użyjemy przy wywołaniu funkcji WinApi. Dodajemy do naszego programu kod z Listingu 2. Stałe są wykorzystywane w następujący sposób:

• GW _ HWNDNEXT – wywołując funkcję GetWindow z tym parametrem uzyskujemy uchwyt do okna, które leży poniżej wybranego okna, w porządku osi z,

• SWP _ NOZORDER – stała wykorzystywana jako ósmy parametr funkcji DeferWindowPos, określa brak zmiany kolejności okien (parametr hWndInsertAfter jest ignorowany),

• SWP _ HIDEWINDOW – ósmy parametr funkcji DeferWindowPos, określa ukrycie okna,

• SWP _ SHOWWINDOW – ósmy parametr funkcji DeferWindowPos, określa pokazanie okna,

• SWP _ NOACTIVE – ósmy parametr funkcji DeferWindowPos, określa brak aktywacji okna,

• SWP _ NOSIZE – ósmy parametr funkcji DeferWindowPos, określa brak zmiany rozmiaru okna (parametry cx i cy są ignorowane),

• SWP _ NOMOVE – ósmy parametr funkcji DeferWindowPos, brak zmiany położenia okna (parametry x i y są ignorowane).

Rysunek 1. Wirtualne pulpity Windows

Listing 1. Funkcje WinApi

[DllImport("user32.dll")]

public static extern IntPtr GetDesktopWindow();[DllImport("user32.dll")]

public static extern IntPtr GetTopWindow(IntPtr hwnd);[DllImport("user32.dll")]

public static extern IntPtr GetWindow(IntPtr hwnd, int cmd);[DllImport("user32.dll")]

public static extern bool IsWindowVisible(IntPtr hwnd);[DllImport("user32")]

public static extern IntPtr FindWindowEx(IntPtr parent, IntPtr childAfter, string szClass, string szWindow);

[DllImport("user32")]

public static extern IntPtr BeginDeferWindowPos(int nNumWindows);[DllImport("user32")]

public static extern IntPtr DeferWindowPos(IntPtr hWinPosInfo, IntPtr hwnd, int hWndInsertAfter, int x, int y, int cx, int cy, int wFlags);

[DllImport("user32")]

public static extern int EndDeferWindowPos(IntPtr hWinPosInfo);

16

POCZATKI

HAKIN9 7-8/2008

WIRTUALNY PULPIT WINDOWS

17 HAKIN9 7-8/2008

Następną czynnością jest zadeklarowanie pól naszej klasy. Pora na kod zaprezentowany na Listingu 3.

Pola hwndTab użyjemy do przechowania uchwytów okien, które tworzą nasz wirtualny pulpit.

Zadeklarowana tablica ma stały wmiar, tak więc jeżeli liczba okien przekroczy 1024, nie będziemy mogli ich obsłużyć. Aby temu zapobiec, możemy np. wykorzystać kontener List . Jednakże prawdopodobieństwo, że będziemy obsługiwali więcej niż 1024 okna jest małe, tak więc skorzystamy z tablicy. Pole counter będzie licznikiem okien, które obsługujemy.

Jesteśmy teraz gotowi do zaimplemetowania metod, które będą odowiedzialne za obsługę wirtualnego pulpitu. Dodajemy kod z Listingu 4.

Zadaniem metody Hide jest schowanie okien bieżącego pulpitu. Na początku uzyskujemy uchwyt do pulpitu, wywołując GetDesktopWindow. Następie wywołujemy funkcję GetTopWindow, dzięki czemu będziemy znać uchwyt okna będącego najwyżej w porządku osi z.

Używając funkcji FindWindowEx , uzyskujemy uchwyty odpowiedno do paska zadań (ang. task bar ), a także pulpitu (pulpit oznacza w tym momencie ikony takie, jak Mój Komputer itp.). Następnie przy wykorzystaniu pętli do .. while przeszukujemy okna pulpitu. Kryteria poszukiwania zawężamy do okien widocznych i nie będących oknami paska zadań oraz pulpitu.

Dodatkowo, jeżeli aplikacja obsługująca wir tualne pulpity jest widoczna, powinniśmy ją także pominąć podczas operacji zmiany atrybutu widoczności okien (parametr appHandle).

Dysponując tablicą uchwytów do widocznych okien pulpitu, możemy zmienić ich wybrane atrybuty. Dzięki wywołaniu funkcji BeginDeferWindowPos tworzymy strukturę opisującą okna. Używając pętli for zmieniamy atrybuty wybranych okien – ponieważ chcemy schować okna, ustawiamy flagę SWP _HIDEWINDOW . Zmian dodokonujemy wyołując funkcję EndDeferWindowPos. Uzyskujemy w ten sposób nowy, wir tualny pulpit .

Metody Show używamy, jeżeli utworzyliśmy wcześniej wirtualny pulpit, na który właśnie chcemy się przełączyć. Tworzy ona strukturę opisującą okna, a następnie zmienia kolejno artybuty okien wirtualnego pulpitu, jaki zamierzamy uaktywnić.

Listing 2. Stałe klasy

private int GW_HWNDNEXT = 2;private int SWP_NOZORDER = 4;private int SWP_HIDEWINDOW = 128;private int SWP_SHOWWINDOW = 64;private int SWP_NOACTIVATE = 16;private int SWP_NOSIZE = 1;

private int SWP_NOMOVE = 2;

Listing 3. Pola klasy

private IntPtr[] hwndTab = new IntPtr[1024];private int counter = 0;

Listing 4. Metody klasy

public void Hide(IntPtr appHandle){

IntPtr deskWin = GetDesktopWindow();

IntPtr win = GetTopWindow(deskWin);

if (win == IntPtr.Zero) return; IntPtr hTask = FindWindowEx(IntPtr.Zero, IntPtr.Zero, "Shell_TrayWnd", null);

IntPtr des = FindWindowEx(IntPtr.Zero, IntPtr.Zero, "Progman", null);

counter = 0;

do {

if (IsWindowVisible(win) && win != hTask && win != deskWin && win != des && win != appHandle)

{

hwndTab[counter++] = win;

}

}

while ((win = GetWindow(win, GW_HWNDNEXT)) != IntPtr.Zero); IntPtr s = BeginDeferWindowPos(counter);

for (int i = 0; i < counter; i++) {

s = DeferWindowPos(s, hwndTab[i], 0,

0,

0,

0,

0,

SWP_HIDEWINDOW | SWP_NOMOVE | SWP_NOSIZE | SWP_NOZORDER | SWP_

NOACTIVATE);

}

EndDeferWindowPos(s);

}

public void Show(){

IntPtr s = BeginDeferWindowPos(counter);

for (int i = 0; i < counter; i++) {

s = DeferWindowPos(s, hwndTab[i], 0, 0,

0,

0,

0,

SWP_SHOWWINDOW | SWP_NOMOVE | SWP_NOSIZE | SWP_NOZORDER);

}

EndDeferWindowPos(s);

}

16

POCZATKI

HAKIN9 7-8/2008

WIRTUALNY PULPIT WINDOWS

17 HAKIN9 7-8/2008

Ponieważ chcemy teraz, aby wybrane okna były ponownie widoczne, tym razem włączamy flagę SWP _ SHOWWINDOW . Zmian dokonujemy przy pomocy wywołania funkcji EndDeferWindowPos.

Wirtualny pulpit jako zagrożenieStworzona przez nas klasa jest implementacją wirtualnego pulpitu w systemie Windows.

Jednakże możemy ją zastosować także w innym celu. Zastosowanie tylko funkcji chowającej, działającej w pętli (Listing 5), uniemożliwi nam pracę z jakąkolwiek alikacją – po prostu nie będziemy widzieli okien.

Dodatkowo zauważmy, że przeszukując okna na pulpicie, na liście wyjątków nie uwzględniamy menadżera zadań – jego też nie będziemy w stanie wywołać.

Możemy się także pokusić o napisanie aplikacji, która będzie imitować awarię systemu poprzez brak odpowiedzi na komendy użytkownika. Zasada działania jest dość prosta. Robimy zrzut ekranu i zapisujemy go do pliku, następnie ukrywamy wszystkie okna – włącznie z paskiem zadań oraz ikonami na pulpicie, a na koniec zmieniamy tapetę na obraz przedstawiający zrzut ekranu.

Ponieważ obraz ekranu był zapisany przed schowaniem wszystkich okien, są one na nim widoczne. W ten sposób wygląd pulpitu użytkownika nie uległ zmianie, lecz jego funkcjonalność jest zablokowana.

Implementacja powyższego mechanizmu wymaga drobnych zmian klasy wirtualnego pulpitu. Na początek będziemy potrzebować funkcji, za pomocą której zmienimy tapetę pulpitu. W tym celu wykorzystamy funkcję SystemParametersInfo. W sekcji importu funkcji WinApi dodajemy kod zawarty na Listingu 6.

Zadaniem funkcji SystemParametersInfo jest zmiana bądź odczytanie wybranych ustawień systemowych.

Przyjmuje ona następujące parametry:

• uAction – kod czynności, którą chcemy wykonać,

• uParam – znaczenie tego parametru jest zależne od pierwszego parametru,

• lpvParam – znaczenie tego parametru jest także zależne od pierwszego parametru,

• uWinIni – określa czynności, jakie zostaną wykonane po dokonaniu zmian ustawień systemowych.

Kolejnym krokiem jest zdefiniowanie stałych, których użyjemy, wywołując funkcję SystemParametersInfo. W sekcji definicji stałych klasy dopisujemy kod z Listingu 7.

Wywołanie funkcji SystemParametersInfo ze stałą SPI _SETDESKWALLPAPER powoduje zmianę tapety pulpitu.

Ścieżkę do pliku zawierającego obraz nowej tapety podajemy jako trzeci

parametr funkcji. W systemach Windows Server 2003 oraz Windows XP/2000 plik z obrazem nie może być w formacie JPEG. Przy definicji czwartego parametru funkcji używamy stałych SPIF _ UPDATEINIFILE i SPIF _ SENDWININICHANGE . Oznaczają one odpowiednio aktualizację profilu użytkownika oraz wygenerowanie komunikatu WM _ SETTINGCHANGE .

Przejdźmy do napisania metody, która będzie zamieniać tapetę pulpitu na wcześniej wykonany zrzut ekranu. Kod metody jest przedstawiony na Listingu 8.

Na początku dodajemy przestrzenie nazw System.Drawing, System.Windows.Forms, a także System.Drawing.Imaging.

Metoda rozpoczyna działanie od stworzenia obiektu klasy Bitmap, reprezentującego zrzut ekranu Przeciążony konstruktor tej klasy pobiera

Listing 5. Jak nie należy używać wirtualnych pulpitów – prosty przykład

while (true){

(new VirtualPulpit()).Hide(this.Handle); Thread.Sleep(100);

}

Listing 6. Funkcja SystemParametersInfo

[DllImport("user32.dll")]

public static extern int SystemParametersInfo(int uAction, int uParam, string lpvParam, int fuWinIni);

Listing 7. Stałe wykorzystywane przy zmianie tapety pulpitu

private int SPI_SETDESKWALLPAPER = 20;private int SPIF_UPDATEINIFILE = 1;private int SPIF_SENDWININICHANGE = 2;

Listing 8. Metoda zamieniająca tapetę pulpitu na zrzut ekranu

private void ChangeWallPaperToScreenShot(string bmpPath){

Bitmap bitmap = new Bitmap( Screen.PrimaryScreen.Bounds.Width, Screen.PrimaryScreen.Bounds.Height,

PixelFormat.Format32bppArgb);

Graphics screenshot = Graphics.FromImage(bitmap);

screenshot.CopyFromScreen(Screen.PrimaryScreen.Bounds.X,

Screen.PrimaryScreen.Bounds.Y,

0, 0,

Screen.PrimaryScreen.Bounds.Size,

CopyPixelOperation.SourceCopy);

bitmap.Save(bmpPath, ImageFormat.Bmp);

SystemParametersInfo(SPI_SETDESKWALLPAPER, 0, bmpPath, SPIF_UPDATEINIFILE

| SPIF_SENDWININICHANGE);

}

18

POCZATKI

HAKIN9 7-8/2008

dwa parametry: szerokość i wysokość obrazu.

Ponieważ zapisujemy cały obraz na monitorze, wykorzystujemy klasę Screen w celu odczytania wysokości i szerokości ekranu monitora. Zrzut ekranu tworzony jest poprzez wywołanie metody CopyFromScreen klasy Graphics. Kopiuje ona piksele z określonego fragmentu ekranu do instancji klasy Graphics.

Metoda ta przyjmuje następujące parametry:

• współrzędną x punktu początkowego,• współrzędną y punktu początkowego,• współrzędną x punktu końcowego,

• współrzędną y punktu końcowego,• rozmiar obszaru do przekopiowania,• obiekt klasy CopyPixelOperation ,

odpowiadający za sposób przedstawiania kolorów.

Obraz zapisujemy w wybranym miejscu, używając formatu BMP. Na koniec zamieniamy tapetę pulpitu na wcześniej utworzony zrzut ekranu.

Ostatnią czynnością jest – pokazana na Listingu 9 – drobna modyfikacja metody Hide.

Istotną zmianą jest wywołanie na początku metody ChangeWallPaperToScreenShot . Dodatkowo usunęliśmy kod,

który dodaje okna aplikacji, paska zadań oraz pulpitu (rozumianego jako ikony) do listy wyjątków podczas wyszukiwania widocznych okien.

Uruchamiając aplikację, która wywołuje metodę Hide , zauważymy, że nasz pulpit nie odpowiada na wydawane przez nas komendy. Istnieje jednak możliwość otworzenia pewnych okien, np. poprzez specjalne kombinacje klawiszy. Aby temu zapobiec, możemy wykorzystać wcześniejszą wersję metody Hide (Listing 4) w sposób przedstawiony na Listingu 5.

PodsumowanieCelem artykułu było zaprezentowanie techniki wirtualnych pulpitów. Wykorzystując ten mechanizm jesteśmy w stanie w sposób swobodny zarządzać oknami uruchomionych apikacji, dzięki czemu praca z systemem Windows staje się wygodniejsza.

Jednakże omówioną technikę można wykorzystać do pisania róznego rodzaju robaków, które zamiast pomagać użytkownikowi – powodują szkody w jego systemie.

Będąc w stanie kontrolować pozycję, rozmiar oraz widoczność okien, jesteśmy w stanie podmienić wybrane okna. Pisząc program, wyglądający identycznie jak np. menadżer poczty e-mail, możemy bardzo szybko zamienić oryginalne okno aplikacji na specjalnie przygotowaną przez nas kopię. Użytkownik, nieświadomy zagrożenia, wprowadza swój login i hasło, które zamiast trafić do menadżera poczty, są przez nas przechwytywane. Jeżeli dodatkowo, przywrócimy widoczność oryginalnego okna aplikacji, wygenerujemy komunikat o drobnym błędzie z prośbą powtórnego wpisania loginu i hasła, to istnieje duże prawdopodobieństwo, że dane użytkownika zostaną wykradzione w sposób niezauważalny.

Maciej PakulskiAbsolwent studiów inżynierskich oraz aktywny członek koła naukowego .NET Wydziału Fizyki, Astronomii i Informatyki Stosowanej Uniwersytetu Mikołaja Kopernika w Toruniu. Obecnie na studiach magisterskich. Programowaniem zajmuje się od 2004. Potrafi programować biegle w językach C/C++, Java, VHDL. Programowaniem w języku C# i platformą .NET zajmuje się od 2006 roku. Jest autorem szeregu publikacji z zakresu programowania oraz bezpieczeństwa IT.Kontakt z autorem: mac_pak@interia.pl

W Sieci• http://www.microsoft .com/express/download – witryna Microsoft , z której można pobrać

środowisko Visual C# 2008 Express Edition,• http://www.codeproject .com – zbiór bardzo wielu przykładów aplikacji dla plat formy

.NET i nie tylko. Naprawdę godny polecenia,• http://www.codeguru.pl – polska strona dla programistów .NET,• http://msdn2.microsof t .com – dokumentacja MSDN. Znajdziesz tu opisy wszystkich

klas, własności i metod, jakie zawiera plat forma .NET wraz z przykładowymi programami.

Listing 9. Zmodyfikowana metoda Hide

public void Hide(){

ChangeWallPaperToScreenShot(@"C:\wallPaper");

IntPtr deskWin = GetDesktopWindow();

IntPtr win = GetTopWindow(deskWin);

if (win == IntPtr.Zero) return; counter = 0;

do {

if (IsWindowVisible(win) && win != deskWin ) {

hwndTab[counter++] = win;

}

}

while ((win = GetWindow(win, GW_HWNDNEXT)) != IntPtr.Zero); IntPtr s = BeginDeferWindowPos(counter);

for (int i = 0; i < counter; i++) {

s = DeferWindowPos(s, hwndTab[i], 0,

0,

0,

0,

0,

SWP_HIDEWINDOW | SWP_NOMOVE | SWP_NOSIZE | SWP_NOZORDER | SWP_

NOACTIVATE);

}

EndDeferWindowPos(s);

}

Jeśli nie możesz odczytać zawartości płyty CD, a nie jest ona uszkodzona mechanicznie, sprawdź ją na co najmniej dwóch napędach CD.

W razie problemów z płytą, proszę napisać pod adres:cd@software.com.pl

20 HAKIN9

ATAK

Rok 2008 będzie najprawdopodobniej jednym z najciekawszych w dotychczasowej historii rynku przeglądarek internetowych, przede wszystkim za sprawą zaostrzającej się konkurencji dla nadal najpopularniejszego Internet Explorera. W chwili pisania tego tekstu Firefox zagospodarował nieco ponad 25% komputerów na świecie. W Polsce ten odsetek był znacząco większy – 33% udziałów. Na rynku zauważalne są jeszcze Opera i Safari. W przypadku Opery liczba użytkowników waha się w okolicach 6-7%. Wszelkie dane odnośnie Safari są jeszcze niezbyt precyzyjne (szacunki mówią o mniej więcej 4-5%). Wiadomo jednak, że od kiedy Apple zdecydował się na wypuszczenie wersji na Windowsa, jej popularność bardzo dynamicznie wzrasta.

Ale nie o popularności poszczególnych przeglądarek chciałbym napisać, lecz o ich bezpieczeństwie. Temat jest ważny, ponieważ przeglądarka internetowa jest bodajże najczęściej używanym programem, z wyłączeniem może samego systemu operacyjnego. Szacunki przedstawiane przez podmioty zajmujące się bezpieczeństwem (np. Secunia , Symantec , CERT ) wskazują, że przeszło 80% ataków dokonywanych przez Internet odbywa się za pośrednictwem przeglądarki internetowej (głównie poprzez niebezpieczne strony WWW ).

W artykule znajdzie się omówienie czterech najpopularniejszych przeglądarek na świecie, także i w Polsce. Na rynku znajdują się również

PRZEMYSŁAW ŻARNECKI

Z ARTYKUŁU DOWIESZ SIĘjak ważne jest bezpieczeństwo przeglądarek internetowych,

jakie potencjalne zagrożenia niesie ze sobą nieodpowiedzialne korzystanie z Sieci,

w jaki sposób możemy przyczynić się do wzrostu (a także obniżenia) poziomu bezpieczeństwa,

jakie są podstawowe mechanizmy przeciwdziałania zagrożeniom.

CO POWINIENEŚ WIEDZIEĆnie ma całkowicie bezpiecznej przeglądarki. Każda ma jakieś wady,

poziom bezpieczeństwa komputera zależy nie tylko od stosowanych zabezpieczeń, lecz również od samego użytkownika,

otwieranie nieznanych odnośników z podejrzanych źródeł może skończyć się wręcz tragicznie,

zawsze korzystaj z aktualizacji krytycznych,

wreszcie – nie daj się omamić mitowi bezpiecznego programu czy systemu, o bezpieczeństwie decydujesz przede wszystkim Ty. Nie daj się skusić reklamom, nie wszystko złoto, co się świeci!

inne, ale liczba ich użytkowników jest naprawdę niewielka – poza tym wiele z nich stanowi klony Firefoksa, więc pozwolę sobie na ich ominięcie. Zapraszam do lektury tekstu.

Internet ExplorerBezpieczeństwo produktów giganta z Redmond od zawsze wzbudza kontrowersje. Niemalże od samego powstania Internet Explorer znajduje się w ogniu krytyki, paradoksalnie podbijając przy tym świat.

W chwili obecnej najpopularniejsza jest szósta odsłona IE. Siódemka została prześcignięta przez Firefoksa, wróćmy zatem do szóstki . Jej rzeczywisty rozwój zakończył się w roku 2001. Mimo to już ponad siedem lat od tego faktu pozostaje najpopularniejszą przeglądarką na kuli ziemskiej, uważaną przy tym za jedną z najnowocześniejszych. Od roku 2001, poza poprawkami bezpieczeństwa, nic się technologicznie w tej przeglądarce nie zmieniło. Większy lifting przeszła wraz z wydaniem Service Packa 2 do Windows XP, który podmienił wiele bibliotek, jednakże odpowiadających głównie za bezpieczeństwo.

Nie zmienia to faktu, że według różnych szacunków około 30% dziur w Internet Explorerze nie jest w ogóle łatanych, przy czym większość to błędy krytyczne, znane bardzo często od lat. Ze względu na błędy, do których Microsoft często się nie przyznaje, użytkownicy IE 6 skazani są na dostawanie się do komputera złośliwego

Stopień trudności

Niebezpieczne przeglądarki internetowePrzeglądarka internetowa jest jednym z najczęściej używanych programów. Z tej racji bywa również jednym z najczęściej atakowanych. Wiele osób nie zdaje sobie chyba do końca sprawy, jak ważne jest dbanie o jej bezpieczeństwo. Tym bardziej, że przeglądarki zawitały również do urządzeń mobilnych.

7–8/2008

21 HAKIN9

NIEBEZPIECZNE PRZEGLĄDARKI INTERNETOWE

7–8/2008

oprogramowania, oszukiwanie przez strony o fałszywych adresach (najczęściej wykorzystuje się to przy wykradaniu danych bankowych, a w konsekwencji – samych pieniędzy).

Mitem jest , że Internet Explorer jest bezpieczny, ponieważ producent systematycznie go łata. Napisałem już, że wiele dziur nie zostało nigdy załatanych, zaś pokaźna część łat i poprawek pojawia się ze znacznym opóźnieniem. Bezpieczeństwo przeglądarki polepsza się, jeżeli używasz systemu z Service Packiem 2. Teoretycznie większość użytkowników aktualizuje system na bieżąco, jednakże na rynku można znaleźć również posiadaczy starszych, dawno już nie wspieranych systemów operacyjnych (np. instytucje publiczne, które często nie stać na kupno nowszego sprzętu i oprogramowania). Ich sytuacja jest niestety często beznadziejna.

Zdarza się, że wielu użytkowników zawierza ślepo zaporze internetowej (firewall ) i antywirusowi. Ich bezpieczeństwo jest mniej niż pozorne. Zacznijmy od tego, że jeżeli pozwolimy IE na połączenie z Internetem – to tak, jakbyśmy robili dziurę w zaporze. Obrazowo można to ująć mniej więcej tak: kupujemy najlepsze z możliwych drzwi antywłamaniowych, klucze dajemy zaś całkowicie obcej osobie. W rzeczywistości istnieją bowiem robaki internetowe, które potrafią ominąć zaporę i jeszcze zmusić nas do otwarcia wybranego przez nas por tu sieciowego. Takie coś instaluje się na sprzęcie po otwarciu jakiejś niebezpiecznej, najczęściej spreparowanej strony, następnie dopisuje się do kodu IE jako jego część. Przy którymś tam uruchomieniu pojawia się komunikat, że przeglądarka prosi o dostęp do sieci (czytaj: otwarcie odpowiedniego por tu). Statystyczny użytkownik komputera klika na tak bez zmrużenia oka – w końcu, jak korzystać z sieci bez dania dostępu do niej przeglądarce internetowej?

W wielu przypadkach również oprogramowanie antywirusowe nie chroni nas w pełni. Część z błędów IE 6 jest na tyle skomplikowana, że po prostu nie jest to możliwe. Gdyby jeszcze Microsof t nie strzegł pilnie

swojego tajemniczego kodu, być może udałoby się dokładnie zdiagnozować i wyeliminować zagrożenia na poziomie przeglądarki. Nawet najlepszy antywirus może sobie nie poradzić z sytuacją, w której użytkownik zostanie zainfekowany na poziomie przeglądania obrazka na stronie internetowej. Już wtedy może dostać się do nas niebezpieczny kod. Swoją drogą, podobne luki występują również w pozostałych – w tym najnowszych – produktach Microsof tu. Wykrywanie ciągle takich samych luk w kolejnych produktach podważa marketingową strategię, w której korporacja dba o aktualność oprogramowania i bezpieczeństwo swoich klientów.

Wspomniałem już, że po opublikowaniu poprawki Service Pack 2 do Windows XP wiele problemów zostało wyeliminowanych. W dalszym ciągu jednak nowe luki pojawiały się jak grzyby po deszczu. Bywały miesiące, że kilka – a nawet kilkanaście – takich błędów ujrzało światło dzienne. Do niebezpiecznych błędów należy zaliczyć możliwość umieszczenia złośliwego kodu za pomocą mechanizmu przeciągnij i upuść (ang. drag and drop ). Błąd wykorzystuje lukę przy umieszczaniu plików na dysku lokalnym. Niebezpieczny skrypt zostaje ściągnięty, a następnie uruchomiony przy współudziale systemu pomocy (to chyba ironia losu, że system pomocy, często interaktywnej, można wykorzystać przeciwko użytkownikowi). W ten sposób powstała możliwość ominięcia wszystkich zabezpieczeń, jakie wprowadził SP 2 – co więcej, występuje ona tylko wraz z tym uaktualnieniem (a nawet z wieloma nowymi poprawkami).

Liczba luk wykrywanych rocznie spadła wraz z pojawieniem się na rynku Internet Explorera 7. Microsof t

zapowiedział wypuszczenie nowego cacka, zupełnie pozbawionego wad poprzedników. Jak to zwykle bywa, rzeczywistość okazała się zgoła odmienna – aczkolwiek nieco bardziej łaskawa dla posiadaczy nowego IE.

Zacznijmy od tego, że pierwsza dziura w IE 7 została wykryta już kilka godzin po premierze programu. Luka obejmowała błędne przekierowania niektórych adresów internetowych, co stanowiło całkiem poważne zagrożenie (choć w pięciostopniowej skali zagrożenia serwisu Secunia otrzymała notę 2). Nie jest to może więc tragiczna w skutkach dziura, może za wyjątkiem wpływu na wizerunek marketingowy Microsof tu. W międzyczasie pojawiły się jednak kolejne wątpliwości co do bezpieczeństwa tej przeglądarki, które po raz kolejny udowodniły, że produkty Microsof tu są najmniej bezpieczne ze wszystkich alternatyw.

IE jest jedyną przeglądarką, która wykorzystuje tzw. ActiveX . Moduł ten umożliwia automatyczne uruchamianie programów zamieszczonych na stronie internetowej. Opcja ta jest bardzo wygodna dla użytkownika. Pamiętam, że dawno temu, kiedy korzystałem na co dzień z IE, ta możliwość była bardzo atrakcyjna. Obecnie pożytek jest nawet jeszcze większy, szczególnie ze względów wizualnych. Niestety, zawsze jest coś za coś. ActiveX posiada stosunkowo szerokie uprawnienia w obrębie danego systemu komputerowego. Jeżeli niepożądana osoba znajdzie jakąkolwiek otwar tą lukę (zaś w gruncie rzeczy takich jest wiele), to będzie mogła przejąć pełną kontrolę nad komputerem. Problem jest bardzo poważny, bowiem według wielu statystyk nawet do 90%

Rysunek 1. Internet ExplorerRysunek 2. Nie zawsze są potrzebne aż tak dramatyczne kroki

ATAK

22 HAKIN9 7–8/2008

NIEBEZPIECZNE PRZEGLĄDARKI INTERNETOWE

23 HAKIN9 7–8/2008

dziur w Explorerze związanych jest z kontrolkami ActiveX . Ich wyłączenie znacznie podnosi nasze bezpieczeństwo, przy czym korporacja (dbając o nie), pozostawia je domyślnie włączone.

ActiveX to nie jedyna potencjalnie niebezpieczna technologia. Bardzo dużo dziur pojawia się np. w VBScript . Sporo niezabezpieczonych obszarów ma również opracowana przez Microsoft wersja maszyny wirtualnej Java (MS Java VM ). Wykorzystanie tych rozwiązań niesie za sobą sporo potencjalnych zagrożeń. Sytuacji z pewnością nie ratuje fakt, że – wbrew wielu opiniom i zaleceniom – Microsoft lansuje swoją przeglądarkę jako część systemu operacyjnego. Z jednej strony daleko idąca integracja sprawia, że program np. szybciej się uruchamia i często funkcjonuje sprawniej (szybkość wewnętrzna jest już dyskusyjna), ale za wzrost potencjalnej wygody płacimy zwiększonym zagrożeniem.

W siódemce pojawiło się teoretycznie wiele aktywnych mechanizmów obronnych – przede wszystkim filtry antyphishingowe, blokowanie wyskakujących okienek (które mogą być często stronami spreparowanymi) itp. Poprawiają one nieco bezpieczeństwo pracy. Niestety, Microsoft ma na tym polu co najmniej dwa lata zaległości w stosunku do konkurencji, co skutkuje często bezradnością nowych

rozwiązań. Można nawet odnieść wrażenie, że zostały stworzone trochę na odczepnego, a na pewno z dużym pośpiechem.

Powolnymi krokami zbliża się zaplanowana na koniec roku premiera Internet Explorera 8. Z wielu zapowiadanych nowości warto zwrócić uwagę na zapowiadane zwiększenie bezpieczeństwa przeglądarki. Służyć ma temu przede wszystkim ulepszony filtr antyphishingowy. Ponadto ochrona przed sfałszowanymi stronami WWW ma się posunąć o wiele dalej – począwszy od zastosowania różnych kolorów w adresach i nazwach witryn, skończywszy na blokowaniu wszystkiego, co znajduje się na czarnej liście. Co jakiś czas Microsoft ujawnia jakiś tam smaczek związany z bezpieczeństwem i ogólną funkcjonalnością (patrz test ACID2), dlatego na samych zmianach nie ma się co skupiać – poza tym korporacja na każdym kroku szafuje szumnymi obietnicami, poza którymi często nic nie pozostaje.

Mozilla FirefoxFirefox jest obecnie największym konkurentem Internet Explorera. Chociażby z tej racji często porównuje się jego zabezpieczenia z tym, co oferuje Microsof t . W powszechnym mniemaniu jest to przeglądarka bezpieczna. Nie

oznacza to jednak, że całkowicie jest pozbawiona dziur i wad. Takie pojawiają się w każdej omówionej w niniejszym ar tykule.

Dlaczego można domniemywać, że Firefox jest mimo to bezpieczniejszym programem od IE? Wśród wielu specjalistów, zwłaszcza z kręgu Windowsa, byłaby to uwaga co najmniej kontrowersyjna. Zacznijmy jednak od konstrukcji samego programu. Do konstruktywnego wniosku co do Firefoksa można dojść, zwracając uwagę tylko na jego rozmiar – zwłaszcza w porównaniu z IE. Jest taka stara zasada, która mówi, że im większy i bardziej skomplikowany program, tym wyższe prawdopodobieństwo, że będzie z nim coś nie w porządku. W drugą stronę działa to w ten sposób, że stosunkowo niewielki program łatwiej analizować, poprawiać i unowocześniać. Ponadto całkowicie otwar ty kod sprzyja szybkiemu wyszukiwaniu i likwidowaniu błędów. Swoją drogą, otwar tość Firefoksa sprawia, że praktycznie nie jest możliwe zatajenie informacji o jakimkolwiek błędzie – tak samo jak dość mało prawdopodobna jest sytuacja, w której wykryte dziury nie zostaną załatane (jednak trzeba powiedzieć, że ona niekiedy miejsce – statystyki pokazują, że Firefox z serii 2.x ma procentowo dwa razy mniej niezałatanych dziur, niż IE, zaś w starszej wersji (1.5) jest to ponad trzykrotnie mniej). Biorąc pod uwagę fakt , że kod jest otwar ty, także twórcy muszą szczególnie zadbać o jego jakość, bowiem świadczy ona o nich samych.

Ogólnie rzecz ujmując, wszelkie łaty bezpieczeństwa wydawane są o wiele szybciej, niż w przypadku IE. Zdarzają się oczywiście niezależne rapor ty, które przeczą temu stwierdzeniu, jednakże moja osobista praktyka i wiele innych doświadczeń są raczej jednoznaczne.

Bezpieczeństwo Firefoksa z pewnością wywodzi się również z faktu, że nie stanowi on części systemu operacyjnego. Nawet jeżeli pojawia się jakaś poważna luka bezpieczeństwa, to prawdopodobieństwo, że coś się stanie z naszym systemem operacyjnym, jest o wiele mniejsze. Przede wszystkim przejęcie kontroli nad OS jest znacznie bardziej utrudnione (co nie oznacza, że niemożliwe).

Rysunek 3. Firefox od pewnego czasu wgryza się wręcz w rynek przeglądarek internetowych

ATAK

22 HAKIN9 7–8/2008

NIEBEZPIECZNE PRZEGLĄDARKI INTERNETOWE

23 HAKIN9 7–8/2008

Istnieją jednak mechanizmy, które sprawiają, iż na tle konkurentów (rozumianych jako Safari lub Opera) Firefox jest nieco mniej bezpieczny. Chodzi tutaj o konstrukcję programu, od samego początku nastawioną na instalowanie i korzystanie z rozszerzeń, które w istotny sposób mogą modyfikować pracę przeglądarki. Firefox został bowiem tak zaprojektowany, że potencjalny atak może objąć najpierw same rozszerzenia, a dopiero w dalszej kolejności właściwą przeglądarkę. Stąd pierwsze ostrzeżenie – nie korzystać z nieznanych rozszerzeń – zwłaszcza tych, które nie są choćby opisane gdzieś na stronach Mozilli (najlepiej ściągać je bezpośrednio z nich).

Pod koniec 2007 r. została znaleziona luka, która daje potencjalne możliwości przeprowadzenia naprawdę groźnego ataku. Przede wszystkim wykonalne jest przeprowadzenie dowolnego ataku typu Cross Site Scripting (XSS ), który polega na umieszczeniu niebezpiecznego kodu w treści strony WWW. W jego wyniku nieznany gość może podnieść swoje uprawnienia poprzez kliknięcie na hiperłącze. Problem wynika z tego, że Firefox (w odróżnieniu od Opery, czy nawet Safari) traktuje dane z URL (odnośników) jak JavaScript – przez to ich uprawnienia są nieco większe. W najgorszym scenariuszu możemy stracić kontrolę nad przeglądarką. Mimo potencjalnych konsekwencji akurat tę dziurę uznano za średnio krytyczną i niepriorytetową. Mimo to została załatana zdecydowanie szybciej niż najbardziej krytyczne dziury IE.

W przypadku każdego produktu zdarza się, że jedna łata może zlikwidować kilka dziur, tworząc za to kolejne. Tuż przed napisaniem tekstu Mozilla załatała około dziesięciu luk krytycznych w programie, przy czym ujawniła się kolejna niebezpieczna dziura. W jej wyniku niepożądany użytkownik może – za pomocą kodu JavaScript zamieszczonego na stronie WWW, podejrzeć zawartość każdego pliku w katalogu domowym przeglądarki. Intruz może w ten sposób odnaleźć nawet plik z naszymi hasłami internetowymi, co może nieść za sobą naprawdę poważne konsekwencje. Luka ujawnia się przy korzystaniu z

popularnych schematów view-source oraz resource .

W przypadku Firefoksa musimy również uważać przy akceptacji certyfikatów SSL . Zdarzało się bowiem w przeszłości, że Firefox nieprawidłowo przetwarzał certyfikaty, które były odpowiedzialne za alternatywne nazwy. Może się bowiem zdarzyć, że zamiast informacji o tym, iż certyfikat jest fałszywy, uzyskamy informację o nieznanym nadawcy, bądź wręcz akceptację. Generalnie ta luka występuje w wielu popularnych przeglądarkach.

Z powyższych informacji wynika, ze Firefox jest również programem, który posiada luki w zabezpieczeniach – w tym często poważne. Niemniej ostateczna ich liczba – jak również okres likwidacji – są naprawdę do przyjęcia, a przynajmniej pozwalają określić ją jako bezpieczną przeglądarkę, o którą dbają zarówno twórcy, jak również zainteresowani użytkownicy.

OperaOpera cieszy się opinią najbezpieczniejszej i zarazem najszybszej przeglądarki na rynku (aczkolwiek w tej drugiej kategorii ma poważnego konkurenta w postaci Safari, zaś nadchodzący Firefox 3 będzie miał

również coś niecoś do powiedzenia). Opera jest jedną z najstarszych przeglądarek internetowych o naprawdę długiej tradycji. W chwili obecnej jest produktem całkowicie darmowym (aczkolwiek nie została wydana jako Open Source). Wcześniej istniała również komercyjna wersja programu, zaś żeby korzystać z niego za darmo, konieczne było oglądanie wyświetlających się reklam. Już wtedy Opera zdobyła opinię szybkiej, wygodnej, a przede wszystkim bezpiecznej przeglądarki. Wzrost jej popularności związany jest niewątpliwie z rezygnacją z takiej polityki. Przejdźmy jednak do rzeczy.

Opera charakteryzuje się niezwykle szybkim czasem wydawania poprawek. Zamyka się on często w godzinach, co winno być wzorem dla pozostałych przeglądarek. Samych łat w porównaniu z nimi jest również o wiele mniej. Wydaje się, że nacisk położony na bezpieczeństwo wynika z faktu, że Opera to nie tylko przeglądarka, lecz również całkiem niezły klient pocztowy (a można dodać jeszcze parę interesujących funkcji za pomocą widgetów – np. klienta protokołu BitTorrent ). Są to wprawdzie spekulacje, niemniej zwiększona funkcjonalność wymaga również bardziej kompleksowego podejścia do bezpieczeństwa

Rysunek 4. Jedna z odsłon Firefoksa, niekoniecznie najnowsza

ATAK

24 HAKIN9 7–8/2008

NIEBEZPIECZNE PRZEGLĄDARKI INTERNETOWE

25 HAKIN9 7–8/2008

Opera charakteryzuje się również tym, że wszystkie znalezione dziury są w 100% załatane. Posługując się rapor tem CERT oraz danymi ze znanego serwisu Secunia , można wskazać, że w latach 2003-2008 wszystkie wykryte dziury zostały załatane. W IE jest to odpowiednio 35% (dane szacunkowe – zgadzają się z tym, o czym napisałem wcześniej), w Firefoksie – dwukrotnie więcej. Jak widać, Opera przebija je wszystkie.

Statystyki Opery są nieco gorsze, jeżeli weźmiemy pod uwagę rodzaj wykrywanych krytycznych dziur. Oczywiście procentowo, nie w liczbach bezwzględnych. Wśród krytycznych luk aż 58% zostało ocenione na 4 w skali pięciostopniowej (wysokie, ale jeszcze nie ekstremalne ryzyko). W IE wielkość ta kształtuje się w okolicach trzydziestu paru procent, jednakże akurat u tego konkurenta występuje kilkanaście procent tzw. ekstremalnych luk, których Opera po prostu nie posiada (Firefox zresztą także, w serii 1.x zdarzyło się ok. 2% takich luk). Statystyki te nieco pogorszyły się w porównaniu ze starszymi wersjami programu, jednak wynika to moim zdaniem z coraz większej jego popularności, a więc także coraz dokładniejszego badania przeglądarki. Zresztą z pewnością wielu Czytelników pamięta, że swego czasu

przedstawiciele renomowanych serwisów i koncernów wypowiadali się, iż nie warto w ogóle tracić pieniędzy na dokładne analizy Opery, bowiem mało kto jej używa. Mówiąc kolokwialnie, żal im było pieniędzy i czasu. Na szczęście dla wielu użytkowników aplikacji, udało się stanąć w szranki z największymi i – powoli, bo powoli – ale Opera nadrabia dystans do Firefoksa i IE.

Wprawdzie wszystkie dziury są łatane stosunkowo szybko (zaś w porównaniu z pewnym jeszcze modnym produktem – wręcz błyskawicznie), to jednak warto wspomnieć, jakiego rodzaju luk możemy się w ogóle spodziewać (zwłaszcza, jeżeli ktoś z Czytelników używa starszej, jeszcze niezaktualizowanej wersji). Dla przykładu, najnowsza odsłona (w chwili wklepywania tych znaków była to Opera 9.26) załatała kilka poważnych luk, które wykryto we wcześniejszych wydaniach. Jeszcze na przełomie marca i kwietnia 2008 w Operze nie zostały wykryte żadne nowe dziury. W porównaniu z IE jest to wyczyn niebagatelny.

Pierwsza z załatanych dziur umożliwiała uruchomienie niebezpiecznego skryptu z poziomu operacji wyświetlania grafiki. Niebezpieczny kod mógł bowiem zostać umieszczony w pobieranym przez przeglądarkę opisie obrazka. Problem wynikał zaś z tego, że w takich prz