سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است .
پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است .
بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یک طرف تصمیم گیرندگان مسائل استراتژیک در یک سازمان قادر به انتخاب مستند و منطقی یک سیستم عامل باشند و از طرف دیگر امکان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی ، بسرعت و بسادگی میسر گردد .
اکثر کرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی اندک از سرویس های سیستم های عامل متداول است .
مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده و در این راستا ابزارهای متنوع ، موثر و گسترده ای را بمنظور نیل به اهداف خود ، بخدمت می گیرند .
مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نکرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند .
مهاجمان بسادگی و بصورت مخرب ، کرم هائی نظیر : بلستر ، اسلامر و Code Red را در شبکه منتشر می نمایند.
آگاهی از مهمترین نقاط آسیب پذیر در سیستم های عامل ، امری ضروری است .
با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک لایه حفاظتی مناسب می باشند.
در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترین نقاط آسیب پذیر ویندور خواهیم پرداخت .
در این راستا ، پس از معرفی هر یک از نقاط آسیب پذیر ، علت وجود ضعف امنیتی ، سیستم های عامل در معرض تهدید ، روش های تشخیص آسیب پذیری سیستم و نحوه مقابله و یا پیشگیری در مقابل هر یک از نقاط آسیب پذیر ، بررسی می گردد .همزمان با ارائه مجموعه مقالات مرتبط با ویندوز ( پنج مقاله ) ، به بررسی مهمترین نقاط آسیب پذیر در یونیکس و لینوکس ، طی مقالات جداگانه ای خواهیم پرداخت .
همانگونه که اشاره گردید ، اغلب تهدیدات و حملات ، متاثر از وجود نقاط آسیب پذیر در سیستم های عامل بوده که زمینه تهاجم را برای مهاجمان فراهم می آورد .
شناسائی و آنالیز نقاط آسیب پذیر در هر یک از سیستم های عامل ، ماحصل تلاش و پردازش دهها کارشناس امنیتی ورزیده در سطح جهان است و می بایست مدیران سیستم و شبکه در یک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسیب پذیر موجود در هر سیستم عامل که در ادامه به آنان اشاره می گردد ، سندی پویا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر یک از نقاط آسیب پذیر و لینک هائی به سایر اطلاعات مفید و تکمیلی مرتبط با ضعف امنیتی است .
مهمترین نقاط آسیب پذیر ویندوز :
ویندوز ، یکی از سیستم های عامل رایج در جهان بوده که امروزه در سطح بسیار وسیعی استفاده می گردد .
تا کنون حملات متعددی توسط مهاجمین متوجه سیستم هائی بوده است که از ویندوز ( نسخه های متفاوت ) بعنوان سیستم عامل استفاده می نمایند .
با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترین نقاط آسیب پذیر ویندوز را به ده گروه عمده تقسیم نمود :
• Internet Information Services (IIS)
• Microsoft SQL Server (MSSQL )
• Windows Authentication
• Internet Explorer (IE )
• Windows Remote Access Services
• Microsoft Data Access Components (MDAC)
• Windows Scripting Host (WSH)
• Microsoft Outlook Outlook Express
• Windows Peer to Peer File Sharing (P2P)
• Simple Network Management Protocol (SNMP)
در بخش اول این مقاله ، به بررسی IIS وMSSQL (موارد یک و دو) ، خواهیم پرداخت .
اولین نقطه آسیب پذیر : ( Internet Information Services (IIS
نصب برنامه IIS با تنظیمات و پیکربندی پیش فرض ، آسیب پذیری خود را در موارد متعددی به اثبات رسانده و می تواند زمینه تهدیدات زیر را فراهم نماید :
• غیر فعال نمودن سرویس ( DoS )
• نمایش و بمخاطره انداختن فایل ها و داده های حساس
• اجراء دستورات خودسرانه ( اختیاری )
• بمخاطره انداختن کامل سرویس دهنده
IIS از پتانسل شناخته شده ISAPI ( فایل هائی با انشعاب DLL که به آنان فیلترهای ISAPI هم گفته می شود ) بمنظور همبستگی و ارتباط با فایل هائی که دارای انشعاباتی خاص می باشند ، استفاده می نماید .
پیش پردازنده هائی نظیر ColdFusion و PHP از ISAPI استفاده می نمایند.IIS ، از فیلترهای ISAPI دیگر برای انجام عملیات مرتبط با ASP)Active Server Pages ، ( SSI)Server Side Includes) و اشتراک چاپ مبتنی بر وب ، استفاده می نماید.تعداد زیادی از فیلترهای ISAPI ، مستلزم عملیات خاص و جداگانه ای برای نصب نبوده و عملا بصورت پیش فرض و در زمان نصب IIS بر روس سیستم مستقر ( نصب ) می گردند .
اکثر فیلترهای فوق ، قابل سوء استفاده توسط مهماجمان می باشند.
Code red و Code Red 2 ، نمونه هائی از برنامه های مخرب می باشند که از ضعف فوق در جهت پیشبرد اهداف خود استفاده نموده اند .
IIS نیز نظیر سایر سرویس دهندگان وب ، شامل برنامه های نمونه ای است که بمنظور اثبات توانائی سرویس دهنده وب ، طراحی شده اند .
در طراحی برنامه های فوق ، عملکرد آنان با لحاظ نمودن مسائل امنیتی در یک محیط عملیاتی و تولیدی مورد توجه قرار نگرفته است .
برخی ازنمونه برنامه های ارائه شده بهمراه IIS ، امکان مشاهده و بازنویسی فایل های دلخواه ویا دستیابی از راه دور به اطلاعات حساس نظیر رمز عبور مدیریت سیستم را فراهم می نمایند .
عدم بهنگام سازی و نگهداری مناسب IIS پس از نصب اولیه ، از دیگر مواردی است که زمینه تهاجم برای مهاجمان را فراهم می آورد .مثلا نقاط آسیب پذیر WebDAV ntdll.dll در IIS 5.0 ، امکان حملات از نوع DoS ( غیرفعال نمودن سرویس ) را فراهم و مهاجمان در ادامه قادر به ایجاد و اجرای اسکریپت های مورد نظر خود بر روی سرویس دهنده می گردند .
در مواردی دیگر و با توجه به نقاط آسیب پذیر موجود ، مهاجمان قادر به اجرای دستورات دلخواه خود بر روی سرویس دهنده می باشند ( درخواست دقیق و ماهرانه آدرس های URL ) .
امکانات و پتانسیل هائی که در ادامه و با توجه به ضرورت بر روی IIS نصب می گردند ( نظیر ColdFusion و PHP ) نیز می تواند زمینه بروز نقاط آسیب پذیر جدیدی را فراهم نماید .اینگونه نقاط آسیب پذیر، می تواند بدلیل عدم پیکربندی صحیح و یا وجود ضعف و اشکال امنیتی در محصول نصب شده ای باشد که به IIS نیز سرایت می نماید ( توارث مشکلات و ضعف های امنیتی از یک محصول به محصول دیگر) .
سیستم های عامل در معرض تهدید :
• ویندوز NT 4.0 که از IIS 4.0 استفاده می نماید .
• ویندوز 2000 سرویس دهنده که از IIS 5.0 استفاده می نماید .
• ویندوز XP نسخه Professional که از نسخه IIS 5.1 استفاده می نماید .
در رابطه با نقطه آسیب پذیر فوق بر روی ویندوز 2003 که از IIS 6.0 استفاده می نماید ، تاکنون گزارشی ارائه نشده است .
نحوه تشخیص آسیب پذیری سیستم
در صورتیکه برنامه IIS بصورت پیش فرض و استاندارد نصب و یا Patch های مربوطه بر روی آن نصب نشده باشند ، آسیب پذیری برنامه فوق در مقابل حملات قطعی خواهد بود .
مدیران سیستم وشبکه که مسئولیت نصب ، نگهداری و بکارگیری IIS را بر عهده دارند ، می بایست خود را با جدیدترین ابزارهای مایکروسافت و مستندات امنیتی ارائه شده در رابطه با مدیریت مناسب IIS ، بهنگام نمایند.
در این رابطه می توان بمنظور دستیابی به مستندات امنیتی مرتبط با IIS از مرکز امنیتی IIS شرکت مایکروسافت استفاده نمود.
پیشنهاد می گردد ، برنامه Microsoft BaseLine Security Analyzer را که شامل روتین های حفاظتی مناسب و مرتبط به IIS می باشد را دریافت و از آن بمنظور بررسی وضعیت امنیتی IIS استفاده بعمل آید .
مدیران شبکه ، می بایست با استفاده از منابع اطلاعاتی متعدد ارائه شده نظیر : Checklists ، مستنداتی که توصیه های لازم در جهت ارتقاء سطح امنیتی را ارائه و مستندات آموزشی نقاط آسیب پذیر که توسط مایکروسافت ارائه شده است ، دانش خود را بهنگام و با دنبال نمودن فرآیندهای مناسب فنی ، از صحت عملکرد امنیتی IIS بر روی سیستم های سازمان خود اطمینان حاصل نمایند.مقایسه وضعیت موجود IIS با وضعیت مطلوب ، یکی از روش هائی است که می تواند در این زمینه مفید واقع گردد .
نحوه حفاظت در مقابل نقطه آسیب پذیر نصب آخرین Patch ارائه شده : در اولین مرحله ، می بایست سیستم را با استفاده از Patch های ارائه شده ، بهنگام نمود.
Patching یک سرویس دهنده نصب شده ، امری ضروری است ولی بتنهائی کافی نخواهد بود .
بموازات کشف نقاط ضعف جدید در IIS ، می بایست از Patch مربوطه بسرعت استفاده گردد.
Windows Update و AutoUpdate گزینه هائی مناسب بمنظور بهنگام سازی IIS با توجه به آخرین Patch های ارائه شده است .
برنامه ( HFNetChk ( Network Security Hotfix Checker ، به مدیران سیستم کمک لازم در پویش و بررسی محلی و یا از راه دور سیستم ها برای Patch های موجود را ارائه می نماید .
ابزار فوق ، قابل استفاده بر روی ویندوز NT 4.0 ، ویندوز 2000 و ویندوز XP می باشد .
آخرین نسخه ابزار فوق را می توان از آدرس http://www.microsoft.com/technet/security/tools/hfnetchk.asp دریافت کرد .
در صورتیکه از برنامه های اضافه شده ای نظیر CouldDusion ،PerlIIS و یا PHP بهمراه IIS استفاده می گردد ، لازم است به سایت های عرضه کنندگان هر یک از محصولات فوق مراجعه و نسبت به آخرین patch ارائه شده در رابطه با هر محصول آگاه و آنان را با توجه به توصیه های انجام شده بر روی سیستم نصب نمود .
امکان Windows Update و سایر سرویس های بهنگام سازی ارائه شده توسط مایکروسافت ، شامل Patch های لازم و مرتبط با محصولات اضافه شده سایر شرکت ها در برنامه IIS مایکروسافت نبوده و لازم است مدیران سیستم بهنگام سازی محصولات اضافه شده ( غیر مایکروسافت ) در IIS را خود راسا" انجام دهند .
استفاده از برنامه کمکی IIS Lockdown بمنظورنصب مطمئن تر : مایکروسافت ، ابزاری ساده بمنظور ایمن سازی نصب IIS را ارائه که ویزارد IIS Lockdown نامیده می شود.
نسخه موجود را می توان از آدرس http://www.microsoft.com/technet/security/tools/locktool.asp ، دریافت نمود.
با اجرای برنامه فوق در حالت " Custom " و یا " Expert" ، می توان تغییرات مورد نظر خود را در ارتباط با نصب IIS مشخص نمود.
بدین ترتیب ، امکان اعمال تغییرات زیر در رابطه با نصب IIS ، فراهم می گردد : غیر فعال نمودن WebDAV ( مگر اینکه محیط مورد نظر شما به وجود آن برای نشر محتوی وب ، نیاز داشته باشد ) غیر فعال نمودن ISAPI extensions های غیر ضروری ( نظیر : htr، .idq , .ism ، .printer .
) حذف نمونه برنامه های ارائه شده بهمراه IIS منع سرویس دهنده وب از اجراء دستورات سیستمی متداول که عموما" توسط مهاجمان استفاده می گردد( نظیر cmd.exe و یا tftp.exe ) .
استفاده از URLScan بمنظور فیلتر نمودن درخواست های HTTP : تعدادی زیادی از حملات مرتبط با نقاط آسیب پذیر IIS نظیر Code Blue و خانواده Code Red ، از کدهای مخربی که بصورت درخواست های HTTP سازماندهی می شوند،استفاده می نمایند( حملاتی از نوع Buffer Overflow ) .
فیلتر URLScan را می توان بگونه ای پیکربندی نمودکه باعث عدم پذیرش اینچنین درخواست هائی قبل از پردازش آنان توسط سرویس دهنده باشد.برنامه فوق،بهمراه ویزارد IIS Lockdown ارائه ولی می توان آن را از آدرس : http://www.microsoft.com/technet/security/tools/urlscan.asp نیز دریافت کرد .
دومین نقطه آسیب پذیر : ( Microsoft SQL Server (MSSQL سرویس دهنده SQL مایکروسافت ( MSSQL ) ، دارای چندین نقطه آسیب پذیر جدی است که امکان دریافت اطلاعات حساس، تغییر در محتویات بانک اطلاعاتی وبمخاطره انداختن حیات سرویس دهندگان SQL توسط مهاجمان را