strangeman's linux blog

Очередное странствие

2008-08-29T20:19:00.002+10:00

Переехал наконец-то на домен второго уровня.
WWW.STRANGEMAN.RU

Ubuntu Mobile Internet Device Edition

2008-06-26T20:39:00.003+10:00

Компания Canonical, коммерческий спонсор проекта Ubuntu, представила первую публичную версию операционной системы Ubuntu Mobile Internet Device Edition (Ubuntu MID), получившую индекс 8.04.

Программная платформа Ubuntu MID, как следует из названия, предназначена для
использования на мобильных интернет-устройствах. Новая ОС базируется на коде
Ubuntu Desktop Edition и содержит ряд приложений, специально адаптированных под
небольшие экраны гаджетов. В состав Ubuntu MID 8.04, в частности, входят
веб-браузер, построенный на основе движка Mozilla Gecko, клиент электронной
почты, книга контактов, календарь и медиаплеер. Кроме того, в Ubuntu MID 8.04
включена поддержка средств управления через сенсорные дисплеи.

Несмотря на то, что желающие уже могут загрузить операционную систему Ubuntu MID 8.04, ориентирована она, прежде
всего, на разработчиков и изготовителей комплектного оборудования. Первые
устройства на базе Ubuntu Mobile Internet Device Edition, как ожидается,
появятся на рынке ближе к концу текущего года.

Источник новости

Парад багов в популярных браузерах

2008-06-19T20:57:00.004+10:00

Немножко ретро. Статья Криса Касперски из февральского номера ][акера о уязвимостях в популярных браузерах.

Кто-то верит в Деда Мороза, а кто-то в браузеры без дыр. Попытка оспорить постулат веры приводит как минимум к гигабайтам флейма. Провокация? Нет, всего лишь статья, в которой мы объективно сравниваем различные типы браузеров на предмет безопасности по куче критериев сразу, подтверждая сказанное не только всем весом своего авторитета, но и обширным фактическим материалом.

Стремительный рост уязвимостей в пятой (и особенно шестой) версии IE вынудил продвинутых пользователей перейти на альтернативные браузеры, на которые хакеры уже давно перешли (ну, хакеры - они всегда в авангарде :)). Конкуренты четко просекли ситуацию, сделав ставку на безопасность: «С Firefox Вы повысите свою безопасность и удобство серфинга», «Opera предоставляет самый быстрый, безопасный и простой в использовании браузер». Не отстает от них и Microsoft, но при всей агрессивности маркетинга последней ее рекламе больше никто не верит, и ошибки в IE обнаруживаются чуть ли не ежедневно, а каждая шестая среди них критическая. Не браузер, а сплошное решето. Работать с ним и шарахаться от каждого шороха способны либо экстремалы, либо чайники. Остальные уже давно забили и мигрировали в иные миры, откуда уже не возвращаются. Действительно, посидев на Горящем Лисе или Опере недельку-другую, работать под IE больше не хочется.

Что-то у конкурентов реализовано получше, что-то - похуже, но дело ведь не в качестве кода и удобстве использования, а в безопасности! Ругая IE, поклонники альтернативных браузеров совершенно наплевательски относятся к собственной security, не следят за новостями, не скачивают обновлений и вообще ведут себя так, как будто ни дыр, ни хакеров, ни прочих угроз в природе не существует. Между тем дыры есть везде, в том числе и в текстовых браузерах типа Рыся, просто о них непринято говорить. Почему? Очень просто. Microsoft первая попадает под перекрестный огонь специалистов по безопасности и сетевых обозревателей, а продукция сторонних фирм традиционно остается в стороне, к тому же журнальный бизнес придерживается правила «бей сильных и не ввязывайся в священные войны». Писать о дырах в Лисе зачастую просто небезопасно. Тут же закидают гнилыми помидорами и тухлыми яйцами. А вот дыры в IE – это почетно!

Ладно, оставляем лирику и переходим к статистике.

Горячий Лис

Firefox, собранный на обломках заживо похороненного (а затем эксгумированного и реанимированного) Netscape, просто не может быть надежным браузером по определению. Фирма Netscape была первой, кому пришла в голову мысль внедрить в браузер поддержку Java-скриптов, и дыры в Netscape водились уже тогда, когда Билл Гейтс еще не вкурил в интернет, и не помышляя, что интернет — это тема.

Войну между Microsoft и Netscape мы оставим на растерзание историкам (им же тоже нужно чем-то питаться), а сами сосредоточимся на достигнутых результатах. Netscape раскрыла исходные тексты своего продукта и начала привлекать к разработке всех желающих, но желающих не было, и кворума собрать не удалось. Кому из опытных программистов интересно тратить время и силы на мертвый проект, не получая ни прибыли, ни отдачи, в смысле — ни удовлетворения, ни денег? Чтобы собрать команду, понадобилось несколько лет, и мало-помалу новый продукт (окрещенный Горящим Лисом, или по-английски Firefox'ом) стал завоевывать рынок.

Первые версии Лиса были ужасны. Часть сайтов вообще не открывалась или отображалась неправильно, оперативная память стремительно утекала, производительность (а точнее, полное отсутствие таковой) настойчиво напоминала о себе с первой до последней минуты работы с Горящим Лисом, требуя его периодического перезапуска (чтобы вернуть системе утекшую память).

А чему удивляться? Код Лиса написан на смеси приплюснутого Си и жабы, а жаба — это уже тормоза. Причем если IE разбит на множество динамических библиотек, загружаемых в память по мере необходимости (и даже базовые библиотеки грузятся одновременно с отображением пользовательского интерфейса, создавая иллюзию быстрого старта), то у Горящего Лиса все свалено в огромный исполняемый файл. Ну разве можно так делать?! Но это еще что. Настройки браузера разбросаны по сотням файлов, эти файлы представлены в текстовом формате, и при каждом своем запуске браузер вынужден парсить их заново. Вот, такая, значит, у них оптимизация.

С низкой скоростью работы можно было бы и смириться (зачем торопиться на кладбище?), но только не с катастрофической ситуацией с безопасностью. Компоненты браузера, написанные на жабе, освобождают его от ряда «врожденных болезней» языка Си типа переполняющихся буферов, которыми так знаменит IE, но в Лисе довольно много приплюснутого кода, и ошибки переполнения (ведущие к удаленному захвату управления компьютером) в нем все-таки имеются, пускай в меньших количествах, чем в IE. Плюс общие ошибки дизайна и кривой (изначально) HTML-движок, добавление новых фич в который ломает всю систему безопасности, образуя многочисленные дыры по всему охраняемому периметру.

А чего еще можно ожидать от «базарного» стиля программирования, когда квалификация разработчиков варьируется в очень широких пределах и любой пионер (ну не совсем любой, конечно) может вносить изменения в код, не согласуя их с более опытными товарищами, которые, обнаружив подобную самодеятельность, сначала хватаются за валидол, а потом за голову? Подписавшись на рассылку для разработчиков (или покопавшись в ее архиве), очень быстро устаешь от «креативной» пионерии, которая сначала что-то делает, а потом думает, что оно сделала и как с этим жить.

Впрочем, мы вновь углубились в лирику, а обещали статистику. ОК, открываем www.securityfocus.com (можно прямо в Лисе), вбиваем в строку поиска Mozilla Firefox и получаем 6 страниц уязвимостей по 30 штук в каждой, причем целый ряд уязвимостей носит множественный характер. На самом деле в Горящем Лисе за всю его историю найдено не ~180 дыр, а намного больше. Тот факт, что большинство уязвимостей обнаруживают сами же разработчики, оперативно затыкая их, ничего не меняет. Другой вопрос, что сообщение о дыре - это всего лишь текст, а не исполняемый файл, и вовсе не очевидно, что эта уязвимость действительно представляет реальную угрозу. Атакующему предстоит не только разобраться в технических аспектах (которые обычно не разглашаются), но и решить многие другие проблемы.

Короче говоря, не каждая дыра - это нора. Угроза исходит главным образом от публичных эксплойтов, которыми может воспользоваться любой желающий. Ему и хакером быть необязательно. Навыков продвинутого пользователя обычно оказывается вполне достаточно. А раз так, идем на www.milw0rm.com, вбиваем в строку поиска Firefox и пожинаем урожай – свыше 20 эксплойтов, большинство из которых работает чисто на отказ в обслуживании. Но имеется также достаточно много дыр, допускающих засылку shell-кода с последующим захватом управления. А вот это уже не хухры-мухры! Это реальная опасность попасть под артобстрел или запустить червя на свой компьютер!

Правда, реальных случаев атак на Горящего Лиса зарегистрировано немного, и нет (или практически нет) ни одного червя, который правильно было бы назвать глистом, поскольку червей ловят и едят, а глисты заводятся сами, и попробуй потом от них избавиться! Самое неприятное, что если пользователи IE в своей массе уже привыкли к его дырам и довольно активно качают обновления (чайников и ламеров мы в расчет не берем), то поклонники Горячего Лиса, уверенные в его непогрешимости, не видят в обновлениях никакой необходимости, тем более что механизм обновлений должным образом не отлажен. Новые билды выходят нечасто, а качать мегабайты исходных текстов и геморроиться с их компиляцией — это, извините, каким же мазохистом быть надо?

Наибольшую опасность представляют уже опубликованные, но еще незалатанные дыры. Для Оперы написан симпатичный виджет, торчащий на рабочем столе и отображающий в реальном времени количество критических незаткнутых дыр для всех популярных браузеров. «Незаткнутых» - это таких дыр, лекарства против которых еще нет, и неизвестно, когда оно будет. Первое место по дырам традиционно занимает IE (на момент публикации содержащий 7 незаткнутых дыр), за ним с небольшим отрывом идет Лис (5 дыр). Опера находится в самом конце хвоста, пропуская вперед себя UNIX-браузеры, о которых мы говорить все равно не будем.

Но все же IE атакуют порядка на два, а то и на три чаще, чем Горящего Лиса! Почему? Ответ прост, как бумеранг: популярность Горящего Лиса существенно ниже, чем IE, и написание червей под него просто не окупается. К тому же Горящего Лиса устанавливают технически продвинутые люди, пользующиеся целым комплексом защитных средств и распознающие присутствие постороннего кода даже без помощи антивируса — им достаточно бросить беглый взгляд на диспетчер задач или Process Explorer Руссиновича.

Растущая популярность Лиса не идет ему на пользу. Код кривой, дырявый, практически ничем не уступающий IE. Стоит только ему существенно потеснить IE, как тысячи хакеров бросятся на поиски дыр (благо исходные тексты доступны) и начнут писать червей одного за другим. Выдержит ли Горячий Лис их натиск? С таким подходом к разработке навряд ли. Впрочем, не будем строить прогнозов, а предоставим событиям возможность развиваться собственным путем.

Опера

Браузер с закрытыми исходными текстами, но, в отличие от Лиса (основанного на кодах Netscape) и IE (построенного на базе Mosaic), разработанный с чистого листа и спроектированный сплоченной командой весьма неглупых людей. По быстродействию, надежности и удобству пользования Опера рвет конкурентов как тузик грелку, причем большинство новых фичей сначала появляется именно в Опере и только потом у конкурентов.

Единственный недостаток Оперы (по сравнению с Лисом) — крайне куцая коллекция расширений. Если для Лиса можно найти любое расширение, какое только нужно (или на худой конец написать его самостоятельно), то в Опере расширения (виджеты) появились лишь недавно. Число их невелико, а функциональность жестко ограничена архитектурой, и в основном все программисты пишут гаджеты типа трехмерных часов, календарей, органайзеров, индикаторов погоды и прочей фигни. А вот научить YouTube сохранять потоковое видео в формате mpeg4 – слабо? А ведь для Лиса таких расширений намного больше одного. Лично я написал пару расширений для www.collarme.com, чтобы с ним можно было работать без помощи мыши — одной лишь клавиатурой. Для Оперы в силу ограничений, наложенных на виджеты, такую штуку написать уже не получается (или я просто не разобрался, как это сделать).

Ошибок в Опере не то чтобы совсем нет, но явно меньше, чем в Горящем Лисе. Security Focus выдает четыре страницы ошибок (против шести в Firefox), правда многие из них критические, то есть допускают возможность удаленного выполнения shell-кода, ведущего к захвату системы, а это очень нехорошо.

На www.milw0rm.com валяется около 15 боевых эксплойтов, работающих главным образом на отказ в обслуживании, но есть среди них и парочка таких, которые забрасывают shell-код, причем как для старых версий Оперы, так и для новых. На сайте компании нет ни одного ресурса, хотя бы косвенно относящегося к безопасности (есть только рекламный логотип, типа Опера самая безопасная). Какие там упоминая о дырах или история исправлений! Даже у ненавистной всем Microsoft все это есть, не говоря уже о Лисе. В любую минуту зашел, полистал список новых багов, почитал, чем они чреваты, и вздохнув принялся скачивать обновления или всю версию браузера целиком.

Маленький секрет. На FTP-сайте компании можно найти намного больше, чем в web'е, в том числе и версии с залатанными дырами, еще не выложенные в web. Что за странная политика такая — не знаю. От атак Оперу спасает лишь относительно невысокая распространенность последней. Мне не известен ни один хакерский сайт, сконструированный специально для обстрела Оперы (Лис под удары несколько раз уже попадал, правда все заканчивалось благополучно и зараза благодаря Process Explorer'у Руссиновича подбивалась еще на излете). Закрытость исходных кодов и относительно частый выход новых версий также существенно повышает цену атаки.

Рысь

Рысем зовут текстовой браузер (он же Lynx), весьма популярный в некоторых кругах и горячо любимый мной. Графику не поддерживает, картинки не грузит, управляется с клавиатуры и серфит с такой скоростью, что только ветер в ушах свистит. Переваривает только базовые тэги HTML (да и то не все), скрипты не видит в упор, не говоря уже о всяких там плавающих фреймах. Казалось бы, ну какие ошибки при такой простоте? Тем более что новые версии практически не выходят. Да и зачем новые, когда есть неплохо работающие старые?

Тем не менее Security Focus показывает целых восемь ошибок, а на www.milw0rm.com находятся два эксплойта, захватывающие управление компьютером без всяких там отказов в обслуживании, что буквально шокировало меня, до этого верящего, что в Рысе ошибок нет и не будет. А оно вон как оказалось. Теперь я не верю ни браузерам, ни женщинам и, прежде чем вновь начать серфить Рысем не внушающие доверия сайты, тщательно изучаю его исходный код — вдруг там какой баг, о котором еще никто не знает? То есть это я не знаю, а тот, кому нужно, знает о багах все.

Вот и думай, как не стать параноиком при таком положении дел! Но все же вероятность попасть под атаку, сидя на Рысе, настолько близка к абсолютному нулю, что совершенно несущественна и ей можно на 99% пренебречь, но потенциально небезопасные сайты все-таки лучше просматривать из-под виртуальной машины. Мало ли...

Заключение

Все мы небезгрешны. И браузеры в том числе. Дыры — явление стихийное и неизбежное. Против стихии не попрешь. Самое лучше, что можно только сделать, - это прекратить верить и начать активно действовать. Следить за новостями безопасности, оперативно скачивать и устанавливать обновления/свежие версии/заплатки. Использовать многоуровневые системы защиты: брандмауэры, антивирусы... Ну и, наконец, не щелкать по подозрительным ссылкам. Кстати, существует мнение, что опаснее всего блуждать по порносайтам, но это мнение глубоко ошибочно. На нормальных порносайтах с нормальными доменами (а не на отстойниках типа xxxxx.narod.ru) зловредного контента практически не встречается :).

И еще - в последнее время Google обзавелся антивирусом, распознающим некоторые типы вредоносного контента и выдающим соответствующее предупреждения под ссылками на страницы, которые пытаются атаковать браузер. Так что перед открытием подозрительной ссылки, полученной из ненадежных источников, имеет смысл сначала отыскать ее в Google и посмотреть, что он скажет.

Плагины

Все браузеры (за исключением, пожалуй, одного лишь Рыся и его текстового собрата Links'а) позволяют устанавливать плагины сторонних производителей: Abobe PDF Reader, Flash Player (названия верно написаны? Думаю, Player и PDF Reader) и много еще чего. А в этих плагинах ошибки, между прочим, тоже встречаются. Причем, если плагин портирован сразу под несколько браузеров, уязвимость приобретает масштабный характер.

Так, например, в конце 2007 года была обнаружена серьезная дыра в Apple QuickTime Player, допускающая удаленный захват управления и ставящая под угрозу и IE, и Горящего Лиса, и Оперу, Сафари и некоторые другие десктопные и мобильные браузеры. При условии, конечно, что этот плагин на них установлен, а установлен он там достаточно часто.

Ладно, если без встроенного просмотра PDF еще как-то можно и обойтись (хотя какая разница? все равно, дыра выскочит при открытии сохраненного документа с локального диска), то без Flash'а живется хреново. То есть поначалу очень даже хорошо живется: реклама не грузиться и не досаждает, а развлекательные ролики можно посмотреть и под IE. Но вот начинают попадаться сайты, где часть картинок выполнена при помощи Flash-технологий (например, так поступает www.iXBT.com), и браузер начинает неизбежно обрастать все новыми плагинами.

Расширения

В той или иной мере расширения поддерживают все браузеры (кроме текстовых, конечно), и коллекция этих расширений обычно находится прямо на официальном сервере компании-разработчика. Вот только пишутся эти расширения кем попало, а потому таят в себе скрытую угрозу.

Наткнувшись на пару расширений для Горящего Лиса, незаметно ворующих пароли с кукисов, я ради эксперимента создал «троянское» расширение (в кавычках, потому что зловредность его заключалась в грозного вида диалоговом окне с надписью: «Сейчас вам будет нехорошо, а потом еще хуже»). Я был просто ошеломлен, насколько проста оказалась процедура регистрации и каких усилий стояло закачать «троянское» расширение в общий доступ. Никаких. В смысле усилий. Просто берешь и закачиваешь. И прежде чем разъяренные пользователи успели написать абузу, «троянца» скачало и установило нехилое количество человек. И ведь это был явный «троян», а если бы он действовал тихо, скрытно и незаметно, что тогда?

Сразу же возникает вопрос: какими полномочиями обладают расширения? Ответ: разработчики браузера приложили определенные усилия, чтобы эти самые полномочия не выходили за рамки приличий, ограничиваясь действиями, совершаемыми над текущей страницей браузера. А у Лиса еще и над его настройками (что дает возможность незаметно прописать хакерский прокси-сервер для кражи трафика, а потом быстро все вернуть обратно, и никто ничего не заметит). Отформатировать диск или внедрить вирус в исполняемые файлы расширения не могут. Теоретически. Практически же они написаны на жабе, и для ускорения их выполнения браузеры автоматически компилируют их код в память, а ошибок в этих компиляторах очень много. Передать управление на заранее подготовленный машинный код после такой компиляции плевое дело, а машинный код может практически все. Имеются и другие просчеты, как в механизме взаимодействия расширений с браузером, так и в жаба-машинах.

Короче говоря, расширения небезопасны, особенно Лисьи. У Оперы в этом смысле дела обстоят намного лучше, но все-таки потенциальная угроза атаки остается вполне реальной и осязаемой. А потому ни в коем случае не скачивай расширения, прежде чем их не скачает толпа народу и не убедится в их праведности. Во всяком случае, антивирусы распознавать нехорошие расширения еще не научились и навряд ли озаботятся этой проблемой в дальнейшем.

Оригинал статьи.

Wine 1.0!

2008-06-18T18:54:00.002+10:00

Автор: Д. Шурупов

После 15 лет усиленной разработки проект по созданию свободной (лицензия GNU LGPL) реализации WinAPI объявил о выпуске первой стабильной версии — Wine (Wine Is Not an Emulator) 1.0.
Релиз Wine 1.0 является по большей частью формальностью, поскольку принципиальных отличий от версий 0.9.x нет. Это лишь отображение того факта, что проект наконец-то «созрел» до определенного уровня и теперь по праву считает свой программный продукт стабильным. Разработчики так представили выпуск Wine 1.0: «Хотя совместимость [с Windows] до сих пор нельзя назвать совершенной, есть подтвержденная информация о тысячах приложениях, которые работают очень хорошо» (речь идет о том, что уже сейчас благодаря Wine очень многие Windows-приложения могут нормально функционировать в таких операционных системах, как GNU/Linux, FreeBSD, Solaris, Mac OS X).
Стоит также напомнить, что критерий для Wine 1.0 был определен уже давно и заключался в том, что в этом релизе должны безупречно работать такие программы, как Adobe Photoshop CS2, Microsoft PowerPoint Viewer 97/2003, Microsoft Word Viewer 97/2003, Microsoft Excel Viewer 97/2003.
Перечень Windows-приложений с информацией о том, насколько хорошо они функционируют в Wine, доступна в Wine AppDB.

Контроллер домена на SAMBA за семь шагов

2008-06-18T06:18:00.005+10:00

Нашел тут весьма интересную статью Сергея Воронцова о настройке контроллера домена под линуксом с помощью пакета samba.

На время начала работ по установке PDC Samba+OpenLDAP мой опыт работы с LINUX-системами был относительно невелик. Одна из причин, вызвавших затруднения в дальнейшем освоении – особенности источников сведений по этой тематике. Пишут их настоящие знатоки, поэтому некоторые аспекты, предельно простые для гуру и неясные для новичка в литературе найти не всегда легко. По многим причинам начальный этап в освоении POSIX-серверов нужно каким-то образом преодолевать.
Так или иначе это удалось, мой не самый маленький домен работает, и теперь могу предположить, что полученный опыт поможет кому-то еще.

Исходный рубеж – знания и практика работы с сетевыми службами в различных операционных средах, так же как и знания, позволяющие начать работать с POSIX-системами. Так как развертывать сервер в среде LINUX полностью из командной строки первый раз нелегко (и отпугивает многих – эта статья как раз для них), выбирается дистрибутив, имеющий графические инструменты основных настроек. В моем случае это OpenSUSE 10.3. С учетом возможностей оборудования использовал версию i386. Поскольку в дальнейшем нам нужно будет развертывать резервный контроллер, а также службы, требующие защищенного соединения, в том числе и за пределами локальной сети, предусмотрим возможность шифрования клиентских подключений на основе сертификатов, подписанных собственным СА.
Варианты с максимальным упрощением настроек не рассматриваем, чтобы избежать в дальнейшем существенных переделок и остановок сетевых служб в действующем домене. Возможности Samba по использованию перемещаемых профилей, логон-скриптов и т.п. пока не задействуем. Впрочем, можно эти опции настраивать заданным группам пользователей позднее. Следует отметить, что отказаться от перемещаемого профиля получается пока только правкой настроек на Windows-клиенте.

Подготовка рабочей станции к подключению в домен

В этом поможет оснастка MMC «Политика «Локальный компьютер» - Административные шаблоны – система – профили пользователей».

Не могу гарантировать абсолютной повторяемости результата, так как итог зависит от неопределенного множества факторов для каждой конкретной реализации. Ничто не мешает инициативному и знающему администратору выбрать свой набор инструментов, схему каталога и т.д. Гипотетические альтернативные методы/способы/решения не рассматриваем – это только личный опыт для возможного повторения теми, кому нужен действующий результат и нет возможности теоретизировать, натыкаясь на многие и многие неясности.

Выражаю благодарность авторам использованных программных пакетов, а также авторам публикаций по рассматриваемому вопросу.

По тексту далее. Группы и пользователей, создаваемых нами в linux, будем называть «Posix-группы или пользователи», встроенные бюджеты (учетные записи служб и т.д.) определим как «системные», учетные записи, создаваемые в samba (в форме базы данных OpenLDAP) – samba-пользователи (группы).

Шаг1. Развертывание серверной платформы.

Сервер назовем asles.bgiki.local. Начальный метод регистрации пользователя – локальный, и кроме root никаких учетных записей не создаем. При установке выбираем KDE, файловый сервер, DNS, DHCP, LDAP, в разделе «разработка – базовая разработка» - Perl. Необходимо установить пакеты из состава дистрибутива: openldap2-devel, openssl-certs, pam_cifs, pam_smb, pam-config, pam-modules, pam_ldap, perl-Authen-SASL, Perl-BerkeleyDB, perl-OpenCA-CRL, OpenCA-REQ, perl-OpenCA-X509, perl-Unicode-String, все perl-Crypt, perl-IO-String, perl-ldap, perl-ldap-ssl, Perl-IO-Socket-SSL, perl-Net_SSLeay, perl-Unicode-Map8, libgcrypt, libxcrypt, libnscd, libacl, libmsrpc, libsmbsharemodes, libmspack, компоненты cyrus-sasl, tls, и по желанию - mc, kdeaddons3-kate, gvim. Дополнительные пакеты из репозитория SUSE: openldap2-back-perl, ldapsmb, samba-doc. Вероятно, этот перечень может быть скорректирован путем проб и ошибок.

Примечание: Учитывая README к пакету smbldap-tools версии 0.9.2, а именно фразу: «In the future, some other function may come (like … compliance to RFC2307...)…» нам предстоит сделать выбор схемы каталога – nis.shema – либо более прогрессивная rfc2703bis.schema, но без использования smbldap-tools. Для простоты был выбран вариант с использованием smbldap-tools.

При установленном samba-doc элементы пакета smbldap-tools находим в папке /usr/share/doc/packages/samba/examples/LDAP/smbldap-tools-0.9.2, вероятно, их можно использовать, но по ряду причин мне показалось целесообразным использовать свежую версию пакета, которую можно найти на http://opensuse.org.

Версии smbldap-tools могут несколько отличаться, в том числе по порядку установки. В варианте 0.9.4-3.2 имеются зависимости - 3 компоненты Perl, это rpm-пакет perl-Jcode-2.06-5.1.noarch.rpm и пакеты в исходных текстах Unicode-Map-0.112.tar.gz и Unicode-MapUTF8-1.11.tar.gz.

RPM-пакет найден поиском в Google, тарболы нашлись с помощью http://search.cpan.org.

Конфигурируем сетевую карту для внутренней зоны, IP-адрес статический. Открываем в брэндмауэре серверы LDAP, samba, dns, а также те порты, что могут быть необходимы в нашей конфигурации. Настроим сервер DNS.

Шаг2. Установка smbldap-tools.

Устанавливаем perl-Jcode:

#rpm -Uvh perl-Jcode-2.06-5.1.noarch.rpm

Распаковываем вышеуказанные пакеты Unicode-*.tar.gz в /usr/src/packages/sources, в раздельные каталоги и далее поступаем согласно документу INSTALL, где указано, что сборка и установка заключается в последовательном выполнении четырех команд:

#perl Makefile.PL #make #make test ;-соответственно проследим, нет ли ошибок, #make install

При установке из исходных текстов в базе RPM сведений о пакетах не будет, поэтому при

#rpm -Uvi smbldap-tools-0.9.4-3.2.noarch.rpm

получим ответ:

error: Failed dependencies: perl(Unicode::Map) is needed by smbldap-tools perl(Unicode::MapUTF8) is needed by smbldap-tools

Важно убедиться, что RPM не затребовал еще каких-нибудь зависимостей. Если
нет, то повторяем установку с опцией --nodeps:

#rpm -Uvi --nodeps smbldap-tools-0.9.4-3.2.noarch.rpm

Чистим каталог …/sources/… по завершении установки пакетов.

Шаг3. Настройка SSL.

Корректируем /etc/ssl/openssl.conf – сведения о организации – чтобы меньше заполнять впоследствии при формировании подчиненных сертификатов. Правда, при создании корневого сертификата (СА) придется их все же один раз набрать. В YaST «пользователи и безопасность - управление СА» создадим корневой сертификат. Указываем необходимые опции - страну, город, срок действия сертификата. В том числе нужно определить общее имя (common name) как имя машины, на которой и в дальнейшем будет запускаться Центр сертификации. В закладке «дополнительные параметры – Key Usage» отметим опцию «digital Signature»:

Готовим сертификат для сети учебного учреждения

Указываем пароль, и отрабатываем «далее» - до закрытия вкладки. Корневой сертификат будет сформирован. При повторном открытии того же инструмента требуется выделить CA в дереве CA tree, и нажать клавишу «Enter CA», после чего будет предложено набрать пароль корневого сертификата. В открывшейся форме, перейдя во вкладку «Сертификаты» формируем сертификат для компьютера, на котором развернем PDC («добавить – добавить сертификат сервера»). Общее имя сертификата должно соответствовать полному имени сервера, переименовывать потом машину – обладатель сертификата будет нежелательно. Сертификат сохраняем в файл, выбрав клавишу «Экспорт» например, /root/docs/security/asles.p12, причем в формате «как PKCS12 и включая СА цепочку» (и закрыт паролем). На будущем PDC используя вкладку YaST «пользователи и безопасность - общий сертификат сервера» импортируем asles.p12 из файла.

Примечания:

Те же результаты могут быть достигнуты средствами командной строки.

Возможности получения CA, подписанного авторитетным центром сертификации рассмотрены в работе Ивана Максимова [8].

Шаг4 . Запуск LDAP.

Открываем вкладку YaST «сетевые службы - сервер LDAP - настройка - общие настройки - файлы схем». Установим опцию автозапуска сервера при загрузке. Добавляем или проверяем наличие схем - core.schema, cosine.schema, nis.schema, inetorgperson.schema, misc.schema, samba3.schema, yast.schema, ppolicy.schema. Последняя – только по причине того, что она есть в данном дистрибутиве, - отчего бы не использовать.

Перейдем на вкладку «базы данных - добавить базу данных», создаем базу, dn базы, например, dc=bgiki,dc=edu, dc=ru, далее dn корневого объекта - dn=Administrator,dc=bgiki,dc=edu,dc=ru, строкой ниже задаем ему пароль. Выбрав клавишу «Принять» сохраним созданную корневую конфигурацию LDAP. Снова включаем YaST «сетевые службы- сервер LDAP - конфигурирование – общие настройки - TLS настройки - TLS Активация» - выбираем «Да» в ее настройках. Для TLS-шифрования нужен ключ и сертификат к нему, поэтому выбираем в той же вкладке опцию «Выбрать сертификат» - настраиваем на использование общего сертификата сервера. YaST сформирует эти файлы и поместит их:

корневой сертификат: /etc/ssl/certs/YaST-CA.pem

сертификат сервера LDAP: /etc/ssl/servercerts/servercert.pem

ключ сервера LDAP: /etc/ssl/servercerts/serverkey.pem

Запустим демон LDAP:

#rcldap start

и по выводу сообщения «done» убедимся, что он запущен.

Открываем вкладкуYaST «сетевые службы - клиент LDAP» и устанавливаем подключение к нашему серверу:

Настройка клиента LDAP в графической форме

В закладке «дополнительная настройка - настройки администратора» впишем (или проверим наличие) DN администратора LDAP. В этой же закладке указываем опцию «Создать конфигурационные объекты по умолчанию», в результате будет создан контейнер LDAP «ou=ldapconfig,dc=…». В закладке «настройки клиента» проверим контекст именования:

отражение пользователя(user map) ou=people,…

отражение пароля (password map) ou=people,…

отражение группы (group map) ou=group,…

Клавишей «принять» сохраняем конфигурацию клиента. При открытии инструмента «сервер LDAP» настраиваем политику паролей (добавить политику – место хранения – в контейнере ou=ldapconfig…) и определяем срок действия пароля в днях, таймаут блокировки при заданном количестве ошибок набора пароля и другие. Скажу сразу, что объект политики в каталоге не виден, но соответствующая строка в slapd.conf появится.

Открываем вкладкуYaST «сетевые серверы - Обозреватель LDAP», проверяем открытие каталога.

Создаем файл /etc/ldap.secret, и вносим в него пароль корневой учетной записи базы cn=Administrator,dc=bgiki,dc=edu,dc=ru:

#echo "пароль" > /etc/ldap.secret

Тестируем созданное:

#rcldap restart ;-перезапуск ldap

#ps aux | grep slapd ;-вернет сведения о запущенном демоне

#netstat -nap | grep slapd ;-вернет информацию о готовности к соединению демона slapd, нас интересует факт открытия tcp-порта 389 из источников 0.0.0.0 и 127.0.0.1 с докладом «LISTEN».

Наличие графических инструментов не отменяет необходимости чтения системных руководств, например:

#man slapd.conf

Вышеуказанные конфигурации текстуально отображены в скриптах /etc/openldap/slapd.conf – сервера LDAP и /etc/ldap.conf – клиента LDAP. Приведем наиболее существенные строки из их содержания.

slapd.conf:

pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args # ссылка на динамические модули: modulepath /usr/lib/openldap/modules #Начальные настройки доступа к каталогу access to attrs=SambaLMPassword,SambaNTPassword by dn="cn=Administrator,dc=bgiki,dc=edu,dc=ru" write #; by dn="cn=root,ou=People,dc=bgiki,dc=edu,dc=ru" write #; by dn="cn=proxyuser,ou=People,dc=bgiki,dc=edu,dc=ru" read by * none ## Yast2 samba hack ACL done access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword,userPKCS12 by self write by * auth access to attrs=shadowLastChange by self write by * read access to * by * read ########################################################### # BDB database definitions – определения базы данных ########################################################### loglevel 0 #может быть до 10, если нужно TLSCipherSuite :SSLv3 #переименовал YaST-CA.pem, это необязательное действие TLSCACertificateFile /etc/ssl/certs/CA.pem TLSCertificateFile /etc/ssl/servercerts/servercert.pem TLSCertificateKeyFile /etc/ssl/servercerts/serverkey.pem database bdb suffix "dc=bgiki,dc=edu,dc=ru" rootdn "cn=Administrator,dc=bgiki,dc=edu,dc=ru" #;rootdn "cn=root,ou=People,dc=bgiki,dc=edu,dc=ru" rootpw "{ssha}хеш сгенерируется автоматически при настройке сервера" directory /var/lib/ldap/ checkpoint 1024 5 cachesize 10000 #параметры поиска объектов в какталоге index objectClass,uidNumber,gidNumber eq index member,mail eq,pres index cn,displayname,uid,sn,givenname sub,eq,pres index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq # overlay ppolicy ppolicy_default "cn=Default Policy,ou=ldapconfig,dc=bgiki,dc=edu,dc=ru" ldap.conf: #URL хоста,-не IP-адрес, потому что работает с сертификатом host asles.bgiki.local base dc=bgiki,dc=edu,dc=ru uri ldap://127.0.0.1/ #uri ldaps://127.0.0.1/ #сможем включить позднее #uri ldapi://%2fvar%2frun%2fldapi_sock/ ldap_version 3 #;binddn cn=proxyuser,ou=People,dc=bgiki,dc=edu,dc=ru #;bindpw пароль проксиюзера открытым текстом наберем позднее # Password is stored in /etc/ldap.secret rootbinddn cn=Administrator,dc=bgiki,dc=edu,dc=ru #;rootbinddn cn=root,ou=People,dc=bgiki,dc=edu,dc=ru port 389 #без этих таймлимитов возникают ошибки nss_ldap, с ними тоже, но реже timelimit 30 bind_timelimit 30 # Reconnect policy и прочие policy, bind_policy soft nss_connect_policy persist idle_timelimit 3600 nss_paged_results yes pagesize 1000 # Filter to AND with uid=%s pam_filter objectclass=account pam_login_attribute uid # диапазон разрешенных UID pam_min_uid 1000 pam_max_uid 60000 pam_password exop nss_initgroups_ignoreusers root,ldap # Enable support for RFC2307bis (distinguished . . . #nss_schema rfc2307bis – и все же когда-нибудь мы это включим... # NDS mappings nss_map_attribute uniqueMember member # OpenLDAP SSL mechanism – пока это главное ssl start_tls pam_filter objectclass=posixAccount #следующие три строки сгенерируются при соответствующей настройке #клиента LDAP, а в конечном варианте ?one ограничивает глубину запроса: nss_base_passwd ou=People,dc=bgiki,dc=edu,dc=ru?one nss_base_shadow ou=People,dc=bgiki,dc=edu,dc=ru?one nss_base_group ou=Group,dc=bgiki,dc=edu,dc=ru?one #позволяет работать с самоподписанным сертификатом: tls_checkpeer no #ssl on # OpenLDAP SSL options # Пока нас устраивает только start_tls, SSL в чистом виде не включаем, # следовательно ниже закомментировано #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/CA.pem #tls_cacertdir /etc/ssl/certs # Seed the PRNG if /dev/urandom is not provided #tls_randfile /var/run/egd-pool # Client certificate and key. Пока задействуем уже созданную # ключевую пару, скопировав ее в папку /etc/ssl/ldap/: tls_cert /etc/ssl/ldap/servercert.pem tls_key /etc/ssl/ldap/serverkey.pem

Конфигурационный файл, где указан порядок поиска учетных записей - nsswitch.conf:

passwd: compat #в соответствии с определением passwd_compat shadow: files #теневые пароли – см. [4] group: files ldap hosts: files mdns4_minimal [NOTFOUND=return] dns networks: files dns services: files ldap protocols: files rpc: files ethers: files netmasks: files netgroup: files ldap publickey: files bootparams: files automount: files nis aliases: files ldap passwd_compat: ldap

Шаг5. Запуск Samba - сервера.

Открываем вкладку YaST «сетевые службы - сервер Samba», во вкладке «загрузка» установим опцию автозапуска сервера, во вкладке «общие ресурсы» проверим наличие netlogon, во вкладке «идентификация» установим имя домена и роль контроллера – PDC. Там же перейдем в «дополнительные настройки-способ идентификации пользователя» и выставим параметр LDAP и значение – ldap://127.0.0.1. Настройки сохранятся при закрытии инструмента, при этом будет предложено набрать пароль администратора samba-сервера.

После завершения работы в графической утилите используем текстовый редактор для правки секции глобальных настроек файла smb.conf:

[global] workgroup = BGIKI server string = BGIKI_PDC map to guest = Bad User security = user domain logons = Yes domain master = Yes logon path = "" logon home = "" os level = 255 preferred master = Yes # пока разрешаем заходить только из нашей сетки hosts allow = 10.31.99. 127.0.0. # так как нет другого wins, включим свой: wins support = yes log level = 1 log file = /var/log/samba/log.%m max log size = 100000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 # опции для LDAP passdb backend = ldapsam:ldap://127.0.0.1/ ldap admin dn = cn=Administrator,dc=bgiki,dc=edu,dc=ru #;ldap admin dn = cn=root,ou=People,dc=bgiki,dc=edu,dc=ru ldap suffix = dc=bgiki,dc=edu,dc=ru ldap group suffix = ou=Group ldap idmap suffix = ou=Idmap ldap machine suffix = ou=Computers ldap user suffix = ou=People ldap passwd sync = Yes ldap ssl = Start_tls ldap timeout = 15 ldap delete dn = No #manage users from Win tools add machine script = /usr/sbin/smbldap-useradd -a -w "%u" add user script = /usr/sbin/smbldap-useradd -a -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

Добавим пароль корневой записи администратора ldap в samba:

#smbpasswd -wЕгоПароль

Проверяем конфигурационный файл smb.conf с помощью команды testparm и
перезапустим демон:

#rcsmb restart

проверим, какие порты прослушивает smbd:

#netstat -nap | grep smbd

проверим доступность ресурсов samba:

#smbclient -L localhost –U administrator

вернет информацию о доступных ресурсах samba (если ошибка – ставим log level
= 2 и читаем сообщения из /var/logs/).

Шаг 6. Подготовка конфигурационных файлов smbldap-tools.

Сертификаты, сформированные для LDAP-TLS временно используем и для
smbldap-tools. Для этого из папки /etc/ssl/servercerts файлы servercert.pem и
serverkey.pem копируем в /etc/smbldap-tools. Попытки использовать указанные
server*.pem из общего каталога совместно smbldap-tools и slapd к успеху не
привели, поэтому и используются те же сертификаты, но для smbldap-tools они
будут использоваться из отдельного каталога.

Получим SID домена:

#net getlocalsid – вернет SID домена

Используем файл configure.pl. Для этого его из /usr/share/doc/packages/smbldap-tools
копируем в /usr/sbin - и запускаем. На консоль будут выводиться вопросы и в
большинстве пунктов значение параметра по умолчанию - если мы согласны с этим
значением, то просто нажимаем "Enter". В результате сформируются
конфигурационные файлы в каталоге /etc/smbldap-tools. Проверяем текст
smbldap.conf и smbldap_bind.conf, при этом:

SID домена должен соответствовать выводу команды net getlocalsid

Slave и Master LDAP server - это один и тот же наш сервер, его IP- адрес
127.0.0.1

ldapTLS="1" -потому что мы TLS уже включили, cafile="/etc/ssl/certs/CA.pem", clientcert="/etc/smbldap-tools/servercert.pem" clientkey="/etc/smbldap-tools/serverkey.pem" suffix="dc=bgiki,dc=edu,dc=ru" #dn, где мы собираемся учитывать компьютеры, группы, пользователей: usersdn="ou=People,${suffix}" computersdn="ou=Computers,${suffix}" groupsdn="ou=Group,${suffix}" idmapdn="ou=Idmap,${suffix}", #Размещение счетчика UID/GID: sambaUnixIdPooldn="sambaDomainName=BGIKI,${suffix}" # Алгоритм шифрования: hash_encrypt="SSHA" #Опция, повышающая криптостойкость хеша – в просторечии «соль» crypt_salt_format="%s" #Настройки шаблонов – например, простейшие: userSmbHome=""."" userProfile=""."" userHomeDrive="''" userScript=""

И последнее – в файле smbldap-bind.conf будет текущий пароль администратора каталога для ведомого и ведущего сервера, и так как у нас это один и тот же сервер – то и повторится он дважды, в формате plain-text.

Теперь используя YaST нужно создать Posix-группы для домена, с корректировкой GID - ntadmins gid=512, mashines gid=515, ntguests gid=514, ntusers gid=513.

Примечание: posix-группы «nt*» и «mashines» будут «привязываться» (mapping) к созданным в каталоге LDAP объектам домена. Известно, что у Windows – группы имеется SID (идентификатор Microsoft), этот SID в целях эмуляции контроллера Windows “привязывается” к posix-группе командой net groupmap add. При определении gid posix-группам со значением по умолчанию у меня как раз и не получалось исполнить этот mapping – пока не вписал posix gid равным последним трем цифрам windows- классификатора, как и указано выше, в результате привязка упростилась.

Шаг7. Заполнение каталога openldap.

Выполняем команду из комплекта smbldap-tools:

#smbldap-populate

Далее увидим список созданных объектов, в завершение утилита предложит сформировать пароль нового администратора домена (его dn: cn=root,ou=People.. и т.д.).

Примечание: Если что-либо не выходит, чаще всего ошибка заключается в настройках TLS.

Проверив привязку групп, убедимся, что mapping получился автоматически:

#net groupmap list Domain Admins (S-1-5-21-. . .111-512) -> ntadmins

и т.д.

Даём группе Domain Admins необходимые права:

#net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -Uroot

Используя YaST, создаем posix-пользователя с именем - для примера - adminchik, проверяем, что ему присвоен uidNumber 1000 , включаем его в posix-группу ntadmins и в командной строке создаем для него учетную запись samba:

#smbldap-useradd -m "adminchik"

С этой учетной записью сможем выполнять административный вход на клиентские машины. Cоздадим posix – запись контроллера домена, имя заканчивается знаком $.

#adduser -n -g machines -d /dev/null -s /bin/false asles$

Добавим контроллер в домен:

#net join

запросит пароль администратора.

Производим конфигурирование модулей pam последовательно двумя вызовами команды pam-config:

#pam-config -a --unix2 #pam-config -a --ldap

после чего утилитой YaST "система - управление службами" включим amsmbd.
Перезапустим ldap и smbd, проверим:

#getent passwd

вернет список пользователей.

Сформируем хеш для пользователя proxyuser:

# slappasswd -v -s ParolProxyUzera -h {SSHA} –c %s

используем его для параметра userPassword при создании файла proxy.ldif, вот его текст:

dn: cn=proxyuser,ou=people,dc=bgiki,dc=edu,dc=ru cn: proxyuser sn: proxyuser objectclass: top objectclass: person userPassword: {SSHA}U0k4II20PybууUwAlDxRееhGW4diAI5+

Модифицируем каталог:

#ldapmodify -a –v -f proxy.ldif -D "cn=administrator,dc=bgiki,dc=edu,dc=ru" -x –W

В соответствующей ветке каталога появится запись, с помощью которой схема авторизации будет читать пароли. У нас появится возможность не указывать пароль администратора каталога простым текстом в файле ldap.secret при повседневной работе сервера. К сожалению, эта уязвимость еще остается в smbldap_bind.conf.

Произведем смену администратора LDAP в конфигурации, для этого:

а) Используя YaST «сетевые службы - сервер LDAP - настройка – база данных –…», изменим dn администратора на имя cn=root,ou=People…и введем новый пароль.

б) Правим файл slapd.conf, текстовым редактором в подразделе # Yast2 samba hack ACL — изменим на dn нового администратора, и добавим права proxyuser:

access to attrs=SambaLMPassword,SambaNTPassword by dn="cn=root,ou=people,dc=bgiki,dc=ru" write by dn="cn=proxyuser,ou=people,dc=bgiki,dc=ru" read by * none

Примечание: после вышеуказанных правок нужно с осторожностью пользоваться графической утилитой YaST-samba, поскольку в ней есть свой шаблон, отличающийся от приведенных настроек.

в) Правим файл ldap.conf:

изменим запись rootbinddn

раскомментируем строку binddn, где указан proxyuser, не забываем указать
его пароль строкой ниже.

г) Правим файл smb.conf, где изменим значение ldap admin dn.

Бюджет нового администратора нужно учесть в базе учетных записей samba:

#smbpasswd –wЕго_Пароль

после чего перезапустим smbd и slapd.

д) Правим файл smbldap_bind.conf путем редактирования dn администратора и его пароля.

Создадим posix- учетную запись клиентского компьютера, подключаем его в домен – если операционная система Windows, то так же, как в домене Microsoft, с учетной записью «root». И для компьютеров и для пользователей требуется создавать posix-учетные записи, после чего можно заполнять данные в samba. С клиентской машины посредством утилиты Usrmgr.exe производства Microsoft (из дистрибутива NT4.0 –сервера – на сайте производителя тоже есть) администрируем учетные записи samba.

Создадим группу для последующего допуска к некоторому ограниченному ресурсу. Для этого сначала создадим posix-группу:

#groupadd konsplususers

Или выполним ту же процедуру инструментом YaST.

Создадим группу в samba:

#smbldap-groupadd -p konsplususers

используя YaST убедимся, что gid в перечне ldap и posix совпадают, если нужно, поправим.

Другой способ – создадим группу в каталоге ldap, запросит пароль администратора

#net rpc group add konsplususers Password:

и свяжем ее с заранее созданной posix-группой

#net groupmap add rid=1003 ntgroup="konsplususers" unixgroup=konsplususers Unix group konsplususers already mapped to SID S-1-5-21-147838798-37688190-2313965735-1097

Добавим posix-пользователя в созданную posix-группу, создадим его бюджет в сервере samba, и уже в файл-сервере он получит права на предоставленный группе ресурс – чего и добивались.

Если это получилось, значит, еще один боец IT-фронта готов к выходу из под пресса монополистов проприетарного ПО.

Теперь самым насущным делом становится укрепление защищенности сервера, резервное копирование, развертывание на POSIX-платформе файл-сервера и почтового сервера, конечная цель - система управления учреждением на базе Open Source.

Литература:

1. Григорьев Михаил Настраиваем OpenLDAP сервер и клиент с поддержкой SSL.

Date: Tue, 19 Apr 2005

http://www.unixdoc.ru/print.php?print_id=123

2. Vsevolod Stakhov <cebka[at]jet[dot]msk[dot]su>

Настройка OpenLDAP и его взаимодействиия с сетевыми сервисами. Date: Mon, 5 Dec
2005 Оригинал:
http://cebka.pp.ru/my/openldap.txt. Статья впервые опубликована в журнале "Системный Администратор".

3. From: CoderInside <coder@linuxportal.vrn.ru.>Date: Mon, 24 Apr 2007
Subject: SAMBA PDC - установка, настройка, управление (Slackware) Оригинал: Воронежский Linux портал.

4. Алексей Барабанов <alekseybb at mail dot ru>. Размещение пользовательских бюджетов в LDAP. Москва, октябрь-декабрь 2006.

5. Настройка OpenLDAP и его клиентов.

http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP

6. Настройка Samba 3 (PDC) с пользователями в LDAP каталоге.

From: Crux Date: Mon, 20 Sep 2004 Оригинал:

http://www.unix.nordcomp.ru/articles.html?page=2&id=17

7. OpenLDAP и TLS/SSL,

http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP/TLS

8. Иван Максимов. Организуем сетевой календарь в корпоративной среде. Журнал "Системный Администратор" №2- 2008 год.

Акция "Эксклюзивные RSS-иконки для всех и каждого!"

2008-06-07T07:16:00.005+10:00

Наткнулся тут в сети на очень любопытную акцию: дизайнер Миша 'Designfreak' Квакин сделает эксклюзивную иконку для RSS-ленты совершенно бесплатно.

Подробности под катом.

Для этого всего лишь надо:
1) Отписать о желании получить иконку у него в комментах
2) Разместить ссылку на его статью у себя в блоге или на сайте.

Для перехода на его пост, посвященный этой акции, кликните на заголовок моей статьи или сюда.

Вот еще пара картинок:

Все права на изображения, естественно, принадлежат автору.

Доля Линукс на европейских десктопах достигла 1%!

2008-06-05T20:03:00.004+10:00

В исследовании, регулярно проводимом компанией xitimonitor, учитывающей посещаемость 170 тысяч веб-сайтов (по-видимому, западноевропейских), доля Linux составила в среднем 1% за февраль-апрель 2008 (год назад было около 0.75%).

В то же время, согласно другим источникам, доля Linux ниже в России (0.6%) и в США (0.7%); w3counter.com показывает для Linux 2%.

Европа: http://www.xitimonitor.com/en-us/inte...
Европа год назад: http://www.xitimonitor.com/en-us/inte...
Россия: http://gs.spylog.ru/r/?reportId=13&am...
в основном США: http://marketshare.hitslink.com/repor...
http://www.w3counter.com/globalstats.php

Доля Mac - 7.8% ~США, 4% Европа, 0.86% Россия.
Доля BSD (десктоп) - 0.00% ~США, 0.01% Европа, 0.02% Россия.

За последний год доля Windows снизилась на 1.1% (Европа) и на 1.8% (~США).

Автор новости: Linux.org.ru

Цикл "Легализация офиса: нет пиратам, даешь линукс!". Глава 1.

2008-06-03T19:04:00.024+10:00

Уважаемые читатели. Информация, излагаемая в этом цикле является абсолютно субъективным опытом и не претендует на академичность. Многое из описанного наверняка можно сделать быстрее/лучше/удачнее (нужное подчеркнуть). Комментируйте, предлагайте свои варианты, спорьте - и вместе мы найдем наилучшее решение. :)

Заранее благодарю авторов всех прочитанных мною статей по данной тематике. Без вас бы у меня ничего не получилось. Конкретных людей и конкретные статьи я буду упоминать по ходу повествования.

Пролог. Затяжная война линукса с нашими системными администраторами.

Идея полной легализации ПО, установленного на компьютерах нашей фирмы, завладела умом моего начальника уже давно - около двух лет назад и благополучно пережила уже трех сисадминов.

В понимании шефа идеальный офис должен выглядеть так:
9 машин:

1 сервер (файловый+контроллер домена+ежик из 1С'овских ключей)
1 SQL сервер 1С:Предприятия 8.1 Управление Производственным Предприятием
1 интернет-шлюз
6 рабочих станций (офис+почтовый клиент+интернет через биллинг+1С:Предприятие различных версий и конфигураций+индивидуальныепрограммы)

Только две машины - рабстанции должны иметь на своем борту Windows. Остальные, включая сервер и шлюз - линукс.

Максимальное, чего удалось добиться предыдущим сисадминам - по две системы (линукс+ХР) на каждой рабочей станции, причем линуксовые системы даже не были введены в домен. Причин неудачи своих предшественников я не знаю - может недостаточное знание предмета, может элементарная лень. Сейчас уже не разберешься.

Зачем я сейчас веду эти записи?

Чтобы четко спланировать сроки и последовательность работ.

Чтобы определиться с конкретными программными решениями.

Чтобы обсудить содержание и возможные варианты реализации работ с разбирающимися людьми.

Глава 1. Исходное расположение сил.

Ситуация на 3.06.2008.

Итак, на данный момент в офисе имеется:

Файловый сервер/Контроллер домена-нелицензионныйWindows 2003 Enterprise Server,который еле-еле стоит на ногах. Он же выполняет роль интернет-шлюза.
6 рабочих станций с пиратской ХР на борту
УППшный SQL сервер на ASP Linux 11.2 - вроде вполне живой
Дитя моих тренировок - машина с CentOS 5, включенная в домен. На этой машине я тренировался в установке, настройке и обновлении сервера 1С:Предприятия и сервера баз данных.

После проведения легализации, компьютерная начинка офиса должна приобрести приблизительно такой вид:

Файловый сервер/Контроллер домена - CentOS

Интернет-шлюз - CentOS (не факт...)

Сервер УПП - ASP Linux/CentOS

Рабочие станции линукс - CentOS/Debian (может еще чего...)

Рабочие станции windows - MS Windows XP Professional/Home (смотря сколько денег начальство выделит)

Почтовый клиент - Mozilla Thunderbird (кроссплатформенно+вполне удобно)

Офисный пакет - OpenOffice (линукс) + MS Office (windows). Не думаю, что буду использовать OpenOffice под виндами.

Антивирус - Касперский (windows). Под линуксом я не вижу в антивирусе особого смысла.

С биллинговой системой я пока не решил. В данный момент фирма использует Lan2Net, но он не кросплатформенный, хотя под wine идет прекрасно. В крайнем случае можно использовать и его.

Этапы выполнения работ.
1) Доводка машины с CentOS до состояния полноценной рабочей станции. Установка 1С, почтового клиента, биллинговой службы. Постепенное обучение персонала работе под линуксом, устранение недоработок, неизбежно всплывающих в процессе обучения.

2) Перевод еще 1-2 рабочих станций на линукс. Скорее всего, эксперименты с различными дистрибутивами вышеназванной системы.

3) Перевод сервера на линукс. Апробирование различных биллинговых систем. Функция шлюза остается пока висеть на сервере.

4) Легализация оставшихся рабочих станций. Офис начинает работать в полноценном режиме и следуя букве закона.

5) Установка интернет-шлюза - файрвол, брандмауэр и прочее-прочее-прочее... Защищаемся от угроз извне.

6) Торжественная сдача работ. Все рады и пьют пиво. :)

Анонс.
Глава 2. Линукс. Эксперименты над отдельно взятой рабстанцией.В следующей главе я расскажу:

как настроить линуксовую машину для работы в домене с контроллером под windows

установка и настройка PostgreSQL сервера и серверной части 1С под линукс

основные заморочки с установкой различных приложений под линукс

«Мгновенные» угрозы

2008-05-31T06:31:00.014+10:00

Статья, посвященная основным угрозам, распространяемым через IM-клиенты.
Авторы: Денис Масленников, Борис Ямпольский.
Взято отсюда.

Программы для мгновенного обмена сообщениями весьма привлекательны для различного рода злоумышленников. Знание потенциальных угроз, распространяемых через IM-клиенты, и способов защиты от них поможет пользователям избежать многих неприятностей при общении в Сети.

IM-клиенты

В наши дни виртуальное общение в Сети стало для многих неотъемлемой частью повседневной жизни. Существует множество способов связи, каждому из которых отведено определенное место в сетевом пространстве – электронная почта, чаты, различные форумы, комментарии в блогах и т.д. Среди пользователей также популярны системы мгновенного обмена сообщениями (англ. instant messengers, или IM), которые позволяют общаться с человеком, находящимся в любой точке мира, в режиме реального времени.

Чтобы общаться с помощью IM, пользователю достаточно иметь доступ в Интернет и установленную на компьютере программу (клиент) для мгновенного обмена сообщениями. Подобных программ очень много, и основные функции IM – собственно обмен сообщениями, поиск собеседников по интересам, просмотр персональной информации владельца аккаунта, различные режимы, в которых пользователь может находиться в Сети и т.д. – реализованы практически во всех IM-клиентах. Помимо этого, некоторые IM-клиенты (или, как их еще называют, интернет-пейджеры) могут иметь набор дополнительных функций.

В России самым популярным IM-клиентом, без сомнения, является ICQ. Название ICQ созвучно английской фразе «I seek you», что означает «я ищу тебя». У каждого пользователя ICQ есть уникальный номер, или UIN (unique identical number), с помощью которого он авторизуется на сервере. Каждый уникальный номер защищен паролем, который устанавливает пользователь. Сообщения передаются по протоколу TCP/IP с использованием специального формата, разработанного компанией Mirabilis. Как правило, одно сообщение умещается в одном TCP-пакете. Некоторые другие клиенты – например, QIP (Quiet Internet Pager) или Miranda – пересылают сообщения, используя различные версии этого же протокола.

Еще одна программа – ее предпочитают многие западные пользователи – MSN Messenger (или Windows Live Messenger), стандартный IM-клиент, разработанный компанией Microsoft. MSN Messenger использует Microsoft Notification Protocol (иногда его также называют Mobile Status Notification Protocol – протокол для мобильного оповещения). Протокол MSNP2 является полностью открытым, однако код остальных его версий на данный момент закрыт. В последней версии MSN Messenger используется версия MSNP16.

В Китае имеется аналог ICQ, который называется QQ. Его популярность в данном регионе очень высока.

Рис. 1. Окно китайского IM-клиента QQ.

В программе Skype помимо функции интернет-пейджера реализована возможность голосового общения. Этот клиент, получивший широкое распространение во всем мире, позволяет пользователям бесплатно обмениваться голосовыми сообщениями. Для этого каждому собеседнику необходимо иметь гарнитуру с микрофоном и компьютер с доступом в Интернет и установленным клиентом. Skype также позволяет звонить на телефонные номера, но такая услуга стоит денег.

IM-Угрозы

К сожалению, виртуальный мир в целом и система мгновенного обмена сообщениями в частности доступны для злоумышленников. Чаще всего в IM осуществляются следующие виды незаконной деятельности:

Кража паролей к аккаунтам IM-клиентов путем перебора паролей (брутфорса) или выманивание их у пользователей с помощью методов социальной инженерии.

Распространение вредоносных программ.
Рассылка сообщений со ссылками, при активации которых на компьютер пользователя пытается загрузиться вредоносная программа. Используя методы социальной инженерии, злоумышленник провоцирует пользователя открыть загружаемый файл, т.е. запустить вредоносную программу.

Рассылка сообщений со ссылками на зараженные веб-страницы.

Спам-рассылки.

Все программы для мгновенного обмена сообщениями подвержены различного рода угрозам. Возьмем, к примеру, популярный в Китае IM-клиент QQ. Широко распространенные в данном регионе Trojan-PSW.Win32.QQPass и Worm.Win32.QQPass специально созданы для воровства паролей к QQ-клиенту. WormWin32.QQPass размножается, копируя себя на сменные носители вместе с файлом autorun.inf, обеспечивающим автозапуск червя на неинфицированном компьютере (в том случае, если функция автозапуска на последнем не отключена).

Вирусописатели не обошли стороной и Skype. Worm.Win32.Skipi распространяется через Skype-клиент, рассылая по контакт-листу пользователя зараженной машины ссылку на свой исполняемый файл. Помимо этого, червь копирует себя на сменные носители вместе с файлом autorun.inf, правит файл hosts, делая невозможным обновление антивирусных продуктов и Windows, а также пытается завершить работу защитных программ в системе. Не обошлось и без троянца, ворующего пароли к Skype. «Лабораторией Касперского» он детектируется как Trojan-PSW.Win32.Skyper.

MSN Messenger, разработанный компанией Microsoft, активно используется злоумышленниками для распространения различных IRC-ботов. Многие из них способны размножаться через этот клиент по команде, полученной из центра управления бэкдором. Происходит это следующим образом. Предположим, у злоумышленника есть небольшой ботнет, который он хочет расширить. Для этого через центр управления всем бэкдорам посылается команда разослать по адресам из контакт-листов MSN Messenger’а зараженных пользователей сообщения со ссылкой следующего вида: http://www.***.com/www.funnypics.com. Дальнейшее зависит от действий пользователя, получившего данную ссылку. Если он решит взглянуть на «забавные картинки», то в зомби-сети станет одним компьютером больше: при клике на ссылку на компьютер пользователя загружается бэкдор.

Интернет-мошенники используют MSN Messenger потому, что этот клиент входит в установочный пакет Windows, а значит, по умолчанию он есть у всех пользователей данной ОС. Популярность MSN за рубежом делает данный IM-клиент весьма привлекательным для злоумышленников, желающих увеличить число зараженных компьютеров в своих зомби-сетях.

Рис. 2. Часть вредоносной программы Backdoor.Win32.SdBot.clg. Красным цветом подчеркнуты команды, отвечающие за размножение троянца.

Угрозы в ICQ

На примере ICQ мы рассмотрим наиболее распространенные способы атак, которые злоумышленники могут предпринимать и в отношении пользователей других IM-клиентов.

Кража паролей

Как уже было сказано, у каждого пользователя ICQ есть свой уникальный идентификационный номер, или UIN. В настоящее время наиболее распространены девятизначные номера, однако многие пользователи хотят, чтобы их UIN совпадал с номером мобильного телефона, был симметричным или содержал одинаковые цифры. Такие UIN’ы удобны для запоминания, а для кого-то подобный номер – вопрос престижа. Особенно ценятся так называемые «красивые» ICQ-номера – пяти-, шести- или семизначные UIN’ы, содержащие, например, только две цифры.

«Красивые» номера продаются, и их цена, как правило, достаточно высока. На многих сайтах существует услуга «заказ номера»: за установленную плату владельцы сайта обещают с некоторой долей вероятности «достать» приглянувшийся заказчику UIN. Кроме того, покупателям предлагают оптовые партии ничем не примечательных девятизначных номеров, которые представляют интерес для любителей массовых рассылок. Использование большого количества номеров при проведении спам-рассылок позволяет спамерам обойти «черные списки», куда разгневанные пользователи заносят номера, с которых приходят спам-сообщения.

Продавцы «престижных» номеров редко рассказывают о методах их получения. В электронных магазинах покупателей уверяют, что «красивые» UIN’ы продаются на законных основаниях. Но на самом деле в большинстве случаев такие ICQ-номера добываются нелегальным путем.

Для кражи UIN’ов злоумышленники используют несколько способов. Многочисленные интернет-магазины, торгующие «красивыми» номерами, зачастую занимаются «промышленным» перебором паролей и кражей аккаунтов. Еще один способ – подбор пароля к primary email и изменение исходного пароля к UIN’у пользователя без ведома последнего. Рассмотрим этот способ подробнее.

Если пользователь забыл пароль к своему UIN’у, служба поддержки ICQ предлагает определенную схему его восстановления. Она неоднократно усложнялась, дорабатывалась и в настоящее время представляет собой систему, более или менее надежно защищающую пароль от кражи. Пользователю предлагается ввести ответы на установленные им самим вопросы. Если же он забыл ответы, то вопросы можно сменить при помощи primary email – почтового адреса, введенного в контактную информацию при регистрации. Схема достаточно надежна, но если злоумышленник каким-либо образом получил доступ к primary email, то UIN, можно сказать, у него в кармане. Подобрав пароль к primary email, можно связаться со службой поддержки ICQ и от имени владельца аккаунта попросить выслать новый пароль, поскольку старый якобы забыт. После получения нового пароля злоумышленник может лишить владельца доступа и к ICQ, и к primary email, сменив старые пароли. Следует отметить, что такой способ кражи достаточно непрост: для перебора паролей к почтовому ящику, с которым связан номер ICQ, необходим мощный компьютер или даже сеть.

Однако наиболее популярна кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует Trojan-PSW.Win32.LdPinch. Данное семейство угрожает пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам (например, Miranda), но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д. Существуют специальные программы-конструкторы для создания необходимого злоумышленнику троянца – они позволяют задавать параметры установки вредоносного ПО на зараженный компьютер, определять, какие именно пароли вредоносная программа будет воровать у пользователя, и т.д. После конфигурирования преступнику остается лишь указать электронный адрес, на который будет отправляться конфиденциальная информация. Именно простота создания таких вредоносных программ приводит к тому, что они часто встречаются не только в почтовом, но и в IM-трафике.

Рис. 3. Окно программы-конструктора троянца Trojan-PSW.Win32.LdPinch.

Распространение вредоносных программ

Если в почтовом трафике вредоносные программы, распространяющиеся самопроизвольно или благодаря спаму, являются представителями самых разных семейств, то через ICQ распространяются в основном три группы подобных программ:
IM-черви – вредоносные программы, использующие клиент как плацдарм для саморазмножения.
Троянские программы, нацеленные на воровство паролей, в том числе и к номерам ICQ (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch).
Вредоносные программы, классифицируемые «Лабораторией Касперского» как Hoax.Win32.*.* (сюда относится вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем).

Каким же образом распространяются вредоносные программы через ICQ?

Распространение IM-червей происходит без участия (или почти без участия) пользователя. Многие IM-черви после попадания на компьютер пользователя распространяют ссылку на себя по номерам, содержащимся в контакт-листе IM-клиента зараженной машины. Функционал IM-червей достаточно разнообразен: это и упомянутое выше воровство паролей, и создание ботнетов, а иногда – обычная деструктивная деятельность (например, удаление всех файлов формата .mp3 на компьютере пользователя). Через ICQ активно распространялись такие зловреды, как Email-Worm.Win32.Warezov и Email-Worm.Win32.Zhelatin (Storm Worm).

Однако в большинстве случаев для успешного проведения атаки злоумышленникам необходимо участие пользователя. Тем или иным способом они пытаются спровоцировать потенциальную жертву перейти по ссылке, размещенной в полученном сообщении, а если по ссылке загружается вредоносная программа – открыть загружаемый файл. Для достижения желаемого результата мошенники часто применяют методы социальной инженерии.

Вот пример атаки, конечной целью которой является загрузка на компьютер жертвы вредоносного ПО. Для начала злоумышленник регистрирует некоторое количество пользователей с привлекательной для знакомства информацией (например, «симпатичная девушка 22 лет ищет парня»). Затем он «привязывает» к этим номерам боты (небольшие программы с примитивным интеллектом, способные поддержать простой разговор). В самом начале беседы заинтересованные пользователи обычно хотят увидеть фотографию «симпатичной девушки», для чего бот предлагает им перейти по ссылке. Стоит ли говорить, что по указанному адресу любопытного пользователя ожидает не фотография, а вредоносная программа?

Еще один вариант – внесение ссылки на вредоносную программу в личные данные «симпатичной девушки». Этот вариант атаки требует от злоумышленника дополнительных усилий: ему необходимо не только заполнить хотя бы несколько основных полей в личных данных и выбрать потенциальных жертв атаки, но и самому общаться с ними, пытаясь заинтересовать их «красивыми фотографиями с побережья Тихого океана», ссылка на которые размещена в личных данных «собеседницы».

Распространение вредоносных программ с помощью ICQ-спама также не обходится без методов социальной инженерии. При этом рассылается не сама вредоносная программа, а ссылка на зловреда.

Ссылки в спаме могут вести и на сайты (легальные, но взломанные, либо специально созданные злоумышленниками), страницы которых заражены кодом троянцев-даунлоадеров. В задачу даунлоадеров входит загрузка другого вредоносного ПО на компьютер жертвы. Ниже приведено более подробное описание такой атаки.

Для загрузки вредоносного ПО с помощью зловредного кода, внедренного на веб-сайт, чаще всего используются ошибки, или уязвимости, браузеров (в основном, Internet Explorer). Для начала злоумышленник атакует легальный и, как правило, достаточно популярный веб-сайт, на страницы которого он внедряет код (например, iframe или зашифрованный Java-script), устанавливающий вредоносную программу на компьютеры посетителей данного сайта. Другой вариант – на дешевом или бесплатном хостинге создается простой сайт с подобным загрузочным кодом. Затем производится массовая IM-рассылка с рекламой данной веб-страницы. Если пользователь переходит по предложенной ему ссылке, происходит незаметная загрузка вредоносного ПО на его компьютер. При этом пользователь может даже не подозревать о том, что сайт, на который он зашел, был атакован или является поддельным. А на его компьютере тем временем уже вовсю орудует LdPinch или IRCBot.

Программы для мгновенного обмена сообщениями также имеют уязвимости, которые могут быть использованы для атаки. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе или получить доступ к удаленному компьютеру без ведома и согласия его владельца.

Если преступник встроит в код вредоносной программы, которая будет запускаться в системе после переполнения буфера, функцию самораспространения с использованием той же уязвимости на других машинах, то такая программа может в короткие сроки проникнуть на компьютеры значительной части пользователей, использующих уязвимое приложение, и вызвать настоящую эпидемию. Однако использование уязвимостей IM-клиентов для атаки требует от злоумышленников высокого уровня технической подготовки, что несколько ограничивает их возможности.

В последнее время при помощи ICQ-спама активно распространяются программы-обманки, якобы генерирующие пин-коды карт оплаты услуг связи различных мобильных операторов. Такие программы детектируются «Лабораторией Касперского» как not-virus.Hoax.Win32.GSMgen. На самом деле данное ПО неограниченное число раз генерирует случайную комбинацию цифр, которую и предлагается использовать в качестве пин-кода для пополнения телефонного счета. Программа выдает результаты в зашифрованном виде, а чтобы их расшифровать, нужно получить от автора ключ (разумеется, за него нужно заплатить). Сумма обычно небольшая – примерно 10-15 долларов, что служит дополнительным соблазном для пользователя. Он думает примерно так: «Заплачу один раз 300 рублей, а потом всю жизнь буду говорить по мобильному телефону бесплатно»! Поскольку полученный таким образом набор цифр не позволяет пополнить счет, в данном случае мы имеем дело с обыкновенным мошенничеством. (Отметим, что если бы данная программа действительно генерировала пин-коды карт оплаты услуг связи, то, во-первых, она стоила бы намного дороже, а во-вторых, создатели программы соблюдали бы строжайшую секретность, опасаясь привлечь к себе внимание операторов мобильной связи и спецслужб.)

Рис. 4. Окно программы-«генератора» пин-кодов.

Спам в ICQ

В отличие от email-спама, спам в ICQ на данный момент исследован недостаточно хорошо. Ниже приведены результаты небольшого исследования, которое было проведено нами в период с 23 февраля по 23 марта 2008 года. Мы исследовали тематику нежелательных сообщений, рассылаемых пользователям ICQ, а также провели сравнительный анализ спама в ICQ и спама, рассылаемого по электронной почте.

Популярные тематики в ICQ-спаме

Тематика спам-сообщений в ICQ весьма разнообразна: это может быть реклама нового сайта или игрового сервера, просьба проголосовать за кого-то в каком-нибудь конкурсе, предложение купить дорогой мобильный телефон по сниженной цене и т.д. Однако, перейдя по рекламной ссылке, можно попасть на сайт с эксплойтом, использующим уязвимости Internet Explorer или другого популярного браузера. Спам-сообщение также может содержать URL вредоносной программы (сообщения, содержащие вредоносные ссылки, в данном исследовании в отдельную категорию не выделялись).

Рис. 5. Тематическое распределение ICQ-спама.

Первое место в нашем рейтинге занимает реклама сайтов развлекательного содержания (18,47%). С высокой долей вероятности можно утверждать, что рассылки подобного рода будут и впредь занимать лидирующие позиции в спам-статистике ICQ, что объясняется высокой эффективностью подобного спама. Вот типичная ситуация: человек в течение длительного времени работает за компьютером, и тут ему по ICQ приходит сообщение об открытии нового сайта со множеством смешных картинок/историй/видео и т.п. Скорее всего, уставший пользователь захочет отвлечься от работы и перейдет по предложенной ссылке.

Что касается занявшей второе место рубрики «Спам "для взрослых"» (17,19%), то здесь рассылаемые сообщения напоминают спам-письма в почтовом трафике: это реклама сайтов знакомств, порно-ресурсов, частного эротического материала и т.д.

В рубрику «Заработки в Сети» (15,83%) попали сообщения, содержащие предложения денег за клики по рекламе, посещение определенных сайтов, просмотр рекламы, а также сообщения, связанные с сетевым маркетингом.

Рубрика «Остальной спам» (12,77%) формируется из сообщений различной тематики, низкий процент которых в общем потоке спама не позволяет создать для них отдельные рубрики. Фантазии авторов таких сообщений можно только позавидовать. Рассылаются различные «письма счастья», реклама зубной пасты, предсказания архиепископов о грядущей в России диктатуре фашизма и т.д. Основные рекламируемые товары – это различные DVD-диски и автомобильные запчасти. В ICQ также встречаются фишинговые сообщения, о которых будет подробно рассказано ниже.

Сообщения, тем или иным образом затрагивающие ICQ, были отнесены к рубрике, занявшей в нашем списке пятое место (8,17%). Особняком здесь стоят «письма счастья ICQ-пользователя», которые в большинстве случаев содержат следующий текст (авторская орфография и стиль полностью сохранены):

«ВНИМАНИЕ !!! начиная с 1.12 ICQ стаНет платным.
Ты можешь предотвратить это, пошли 20 членам из твоего контактного
списка это сообщение. Это не является никакой шуткой (источник www.icq.com) Если ты послал его 20 раз
ты получишь электронное письмо и твой цветок стаНет синим. Т.е. ты попадаешь
в число тех, кто против. Если голосование выйграет, то аська остаНется бесплатной»

Меняются лишь даты и количество человек, которым предлагается послать данное сообщение. Следует отметить, что некоторые послания содержат многоуровневое цитирование – это означает, что многие пользователи искренне верят в то, что их цветок когда-нибудь «станет синим», а ICQ навсегда останется бесплатной.

Сообщения на разных языках, агитирующие за переход на новую, шестую версию ICQ-клиента, также приходят пользователям достаточно часто. Почему такие сообщения популярны у спамеров, до поры до времени оставалось непонятным. Имелись неподтвержденные данные о том, что ICQ 6.x содержит уязвимость, связанную с ошибкой обработки сообщений, сформированных определенным образом. 28 февраля 2008 года эта информация подтвердилась: согласно http://bugtraq.ru, «…отправка специально подготовленного … сообщения (в простейшем случае - "%020000000s") пользователю с установленной ICQ 6.x приводит к ошибке при формировании HTML-кода, предназначенного для отображения текста в интегрированном IE-компоненте. Данная ошибка способна привести к исполнению произвольного кода на удаленной системе». В последней сборке ICQ этой уязвимости нет.

Сообщения из рубрики «Компьютерные игры» (5,79%) можно разделить на две большие группы: первая рекламирует различные браузерные онлайн-игры, а вторая – игровые серверы, в большинстве своем для Lineage II и Counter-Strike.

Всего на треть процента от рекламы компьютерных игр отстают предложения нелегальных услуг (5,45%). Злоумышленники предлагают пользователям за определенную плату узнать пароль к нужному почтовому ящику, организовать DoS-атаку, изготовить поддельные документы (как российские, так и зарубежные), обучиться кардингу или приобрести необходимую для него информацию.

Восьмое место занимают сообщения с просьбами проголосовать за того или иного участника различных веб-конкурсов (5,28%).

На девятом месте – предложения по работе и совместному бизнесу (4,17%), на десятом – предложения компьютерных услуг, в том числе хостинга (3,22%).

Рубрика «Мобильный спам» (2,72%), которая находится в конце нашего списка, также включает в себя две группы сообщений. К первой относятся сообщения с рекламой сайтов, продающих мобильные телефоны. Кстати, зачастую цены на популярные модели там существенно ниже рыночных, что заставляет задуматься о происхождении и подлинности таких аппаратов. Во вторую группу входят сообщения, рекламирующие сайты с различным мобильным контентом.

С 23 февраля по 23 марта 2008 года в ICQ-спаме было зафиксировано не более 1% сообщений, рекламирующих лекарства или медицинские услуги.

В ICQ также иногда появляются фишинговые сообщения, которые не были выделены в отдельную группу ввиду их малого количества. Злоумышленники пытаются получить пароли к UIN’ам пользователей, используя методы социальной инженерии. Здесь успех мошенников во многом зависит от уровня информированности пользователя. Напоминаем, что, как правило, в случае каких-либо неполадок и сбоев официальная служба поддержки ICQ сообщает пользователям о проблемах, но ни в коем случае не требует отослать свой пароль на тот или иной электронный адрес или ввести его в веб-форму на сайте.

Рис. 6. Одно из фишинговых сообщений с попыткой узнать пароль к ICQ.

Особенности ICQ-спама

В отличие от электронной почты, в ICQ реализована возможность поиска собеседников по интересам, внесенным в контактную информацию пользователей. Это позволяет злоумышленникам производить спам-рассылки, рассчитанные на целевую аудиторию. Спамер может достаточно легко получить необходимые ему данные (в большинстве случаев это возраст и список интересов пользователей) и использовать их для привлечения внимания к рассылаемым спам-сообщениям.

Практически все спам-сообщения приходят с номеров, не внесенных в контакт-лист пользователя. Количество нежелательных сообщений, получаемых пользователем в единицу времени, зависит от его ICQ-номера. На шестизначный номер в среднем приходит 15-20 нежелательных сообщений в час, причем многие их них содержат ссылки на Trojan-PSW.Win32.LdPinch. Ничем не примечательные девятизначные номера получают 10-14 таких сообщений в сутки, а «красивые» – в 2-2,5 раза больше.

Тематический состав ICQ-спама значительно отличается от тематики спама в электронной почте. Если в e-mail около 90% спам-сообщений рекламируют различные товары и услуги, то в ICQ на долю таких предложений приходится менее 13% (суммарный процент рубрик «Нелегальные услуги», «Компьютерные услуги», «Мобильный спам», «Медицинский спам»), причем чаще всего (5,45%) предлагаются нелегальные сервисы.

В целом для спама в ICQ характерна развлекательная направленность, что вполне логично: этот канал связи, как правило, не используется для бизнес-коммуникаций, а львиную долю его пользователей составляют молодые люди. Спамеры учитывают специфику аудитории: в ICQ доминируют предложения посетить развлекательные сайты и сообщения с рекламой «для взрослых». На молодежную аудиторию ориентирован и спам из рубрик «Компьютерные игры», «Голосования», «Мобильный спам». В целом на долю «молодежных» тематик в ICQ приходится около 50% всех спамовых сообщений.

Спецификой целевой аудитории ICQ-спама обусловлена и малая доля сообщений «медицинской» тематики. Напомним, что в почтовом спаме они традиционно лидируют, а в нашем списке занимают последнее место с долевым показателем менее 1%. Вероятно, реклама медицинских товаров и услуг не получает необходимого отклика со стороны пользователей ICQ.

Специфические черты ICQ-спама:

Ориентация на молодежную аудиторию.

Общая развлекательная направленность.

Практически полное отсутствие рекламы потребительских товаров. Исключение составляют предложения о покупке мобильных телефонов и медицинских препаратов, а также небольшое количество сообщений, попавших в рубрику «Остальной спам».

Достаточно высокий процент (8,17%) сообщений, тематика которых связана собственно с ICQ.

Значимая доля (5,45%) сообщений от лиц, предлагающих криминальные услуги. Наиболее популярные предложения: взлом почты и ICQ, изготовление поддельных документов, кардинг.

Сценарий атаки

Пользователь запустил файл по ссылке, полученной по ICQ, а долгожданная фотография на его мониторе так и не появилась. Он ждет минуту, две, а в это время троянец уже прошелся по папкам его компьютера в поисках паролей. Кое-где они хранились в зашифрованном виде, что никоим образом не мешает злоумышленнику в дальнейшем их расшифровать. Затем троянец, собрав список паролей, создает письмо, в котором размещает добытую им конфиденциальную информацию, и отправляет его на адрес злоумышленника, который тот зарегистрировал за пару дней до атаки. Чтобы встроенный в операционную систему файервол не предупредил пользователя об опасности, троянец выводит его из игры, изменив соответствующий ключ в реестре. Точно так же вредоносный код поступает с другими программами, способными помешать ему воровать у пользователя пароли и прочую важную информацию. В конце концов, вредоносная программа создает bat-файл, который стирает троянца и самого себя, уничтожая таким образом следы содеянного.

Хакер обрабатывает десятки или сотни (в зависимости от масштабов рассылки) писем с паролями, которые прислал ему троянец, в то время как пользователь только начинает догадываться о том, что его обманули. Кстати, он с тем же успехом может остаться в полном неведении о произошедшем. В любом случае, на руках у пользователя остается всего одна зацепка – ссылка на «фотографию», поэтому шансы вычислить злоумышленника весьма невелики.

«У меня на компьютере все равно ничего важного не было», – успокаивает себя обманутый пользователь. Хакер, между тем, придерживается совершенно иного мнения. У него теперь есть внушительный список паролей: почтовый пароль, пароль к FTP-клиенту и онлайн-играм, банковские аккаунты пользователя и, кстати, его пароль к самой ICQ.

Спрашивается, зачем хакеру может понадобиться еще один никому не известный девятизначный номер? А вот зачем: хакер введет полученный пароль в свой клиент, получит доступ к контакт-листу обманутого пользователя и разошлет его знакомым сообщение следующего содержания: «Привет! Слушай, Петя (Ваня, Саня и т.д.), не одолжишь ли мне срочно до завтра 50 электронных баксов?!?!» Дальнейшее зависит от щедрости Пети и от того, каковы его отношения с обманутым пользователем. Зачастую уговорить колеблющегося Петю оказывается совсем несложно. Параллельно хакер будет упрашивать Ваню и Саню. Время играет против него, поэтому злоумышленник постарается не пускаться в длинные разговоры. Даже если только один человек из контакт-листа каждого зараженного пользователя согласится перевести хакеру виртуальные доллары, то за какой-то час общения он получит приличную сумму денег, сравнимую с дневным окладом хорошего программиста.

А FTP-аккаунт? Что будет, если на FTP-сервере, к которому злоумышленник получил доступ с помощью украденного пароля, хранятся web-страницы какого-нибудь достаточно популярного сайта? У преступника появится возможность дописать в конец каждой web-страницы простой iframe или зашифрованный JavaScript, который будет скрытно загружать и запускать на выполнение ту или иную вредоносную программу на компьютерах всех пользователей, посетивших данный web-сайт.

Все перечисленные выше действия хакера легко ставятся на поток. Злоумышленник может почерпнуть адреса ICQ для спам-рассылки на многочисленных сайтах знакомств и форумах. Вернее, это сделает не сам злоумышленник, а специальная программа, которая выполнит за него всю черную работу, в том числе отсеет дубликаты номеров и проверит спам-лист на активность. Затем хакер разместит на бесплатном хостинге троянца и разошлет ссылку на него по созданному спам-листу. После этого предварительно написанная программа отсортирует ворох писем, присланных запущенными троянцами, и разложит украденные пароли по категориям. Список новых ICQ-номеров, полученных от троянца, превратится в еще один спам-лист. Если номер ICQ зараженного пользователя окажется «красивым», его можно будет продать за немалые деньги. И конечный этап – рассылка сообщений с максимально убедительными просьбами одолжить немного денег. Если ответ на такую просьбу получен, в игру вступает сам хакер, используя свои познания в психологии и методах социальной инженерии. После всего этого оптовую партию «угнанных» номеров можно продать спамерам. На первый взгляд все описанное выше может показаться вымыслом, но, как показывает практика, подобные махинации осуществляются постоянно.

Резюмируя все вышесказанное, перечислим цели, которые преследуют злоумышленники, атакуя IM-клиенты:

Продажа краденых ICQ-номеров (оптовых партий девятизначных номеров и штучных «красивых» номеров).

Создание спам-листов для продажи их спамерам или для осуществления массовых рассылок вредоносных программ.

Использование контакт-листов украденных номеров в качестве доверенных источников для «заема» денег.

Загрузка вредоносного программного обеспечения через уязвимости.

Кража паролей к FTP-серверам с целью изменения web-страниц легальных сайтов для дальнейшей загрузки вредоносного программного обеспечения на компьютеры посетителей.
Создание ботнетов или расширение уже существующих зомби-сетей.

Прочая вредоносная деятельность.

Методы противодействия злоумышленникам в IM

Что же делать пользователю, против которого действует столь умная и беспощадная система? Конечно же, защищаться! Вот несколько полезных советов, которые помогут противостоять угрозам, распространяемым через IM-клиенты.

Прежде всего, пользователю необходимо быть внимательным и не кликать бездумно по ссылке в полученом сообщении. Ниже приведены несколько типов сообщений, которые должны вызывать у получателя опасения:
Сообщение, пришедшее от неизвестного пользователя со странным ником (например, SbawpathzsoipbuO).
Сообщение от пользователя, включенного в ваш контакт-лист, с подозрительным предложением просмотреть новые фотографии с расширением .exe.
Сообщение, якобы содержащее сенсационную новость о связи двух знаменитостей, с репортажем «прямо с места событий». «Репортажем» в данном случае чаще всего является ссылка на файл http://www.******.com/movie.avi.exe. А по ссылке, скорее всего, находится Trojan-PSW.Win32.LdPinch.
Сообщение с предложением скачать программу, открывающую перед пользователем невиданные горизонты, например: «НОВЫЙ БАГ в ICQ, с помощью которого можно регистрировать любой несуществующий номер». По ссылке, которая приведена в таком сообщении, будет находиться какая-нибудь программа, ворующая пароли от UIN’ов незадачливых пользователей.

Такие сообщения лучше всего игнорировать.

Если сообщение пришло от знакомого пользователя, следует уточнить, посылал ли он это сообщение на самом деле. И, разумеется, не стоит загружать на свой компьютер файл с расширением .exe по присланной вам ссылке и запускать его. Даже если расширение файла не указано, по ссылке вы можете попасть на сайт, который перенаправит вас на другую ссылку, содержащую вредоносное ПО.

Разумеется, всем пользователям надо соблюдать элементарные правила «компьютерной гигиены»: на компьютере должен быть установлен антивирус с обновленными базами и файервол, блокирующий несанкционированный доступ в Сеть. Желательно, чтобы в антивирусе были реализованы такие технологии, как эвристический анализатор и/или проактивная защита, которая позволяет определять неизвестные вредоносные программы, анализируя их поведение.

Зачастую пользователь может даже и не знать, что на его компьютере отработала вредоносная программа. Указать на то, что ПК был заражен, могут странные вопросы знакомых, например: «Зачем ты вчера просил у меня 50 WMZ, когда мы говорили по ICQ?», хотя подобного разговора между настоящим владельцем номера и его знакомым не было. Еще более явно на заражение указывают безуспешные попытки воспользоваться своим логином и паролем от того или иного сервиса. Это свидетельствует о том, что пароль был изменен – либо официальным поставщиком тех или иных услуг, либо злоумышленником. В первом случае пользователь гарантировано получит новый пароль или уведомление о его замене по почте или иным способом. Во втором случае ничего подобного, разумеется, не произойдет.

Что делать, если троянец уже сделал свое черное дело и успел себя удалить? Для начала стоит удостовериться, что компьютер действительно чист, проверив его антивирусом. Далее рекомендуется по возможности сменить все пароли, которые троянец мог украсть. Для этого необходимо вспомнить, в каких программах использовались пароли, и попробовать их ввести. Если попытка увенчалась успехом, пароль нужно сразу же сменить. Имеет смысл разослать всем пользователям из контакт-листа IM-клиента сообщение с соответствующим предупреждением и призывом не откликаться на возможную просьбу дать деньги взаймы, разосланную от вашего имени по IM, и уж тем более не пытаться посмотреть фотографии по присланной якобы вами ссылке.

Установка последней версии ICQ, загруженной с официального сайта, поможет предотвратить выполнение произвольного кода в системе из-за уязвимости в ICQ 6.x, связанной с обработкой HTML-кода.

Для защиты от ICQ-спама пользователям рекомендуется выполнять следующие действия. Учитывая, что у спамеров есть возможность проверить ICQ-статус пользователя с web-сайта, имеет смысл запретить в клиенте такую возможность для вашего номера. Спам-рассылка рассчитана на пользователей, постоянно общающихся в ICQ или просто находящихся в онлайне. Поэтому лучше всего по возможности оставаться в невидимом режиме. Однако не стоит забывать о том, что есть программы, которые могут сообщать другим пользователям, действительно ли вы находитесь в оффлайне, или это всего лишь невидимый статус. В данной ситуации вам может помочь антиспам-бот – простейший модуль, который поддерживают некоторые IM-клиенты (например, QIP). На скриншоте отображена конфигурация простейшего антиспам-бота.

Рис. 7. Конфигурация простейшего антиспам–бота.

Каков же принцип работы антиспам-бота? Допустим, с вами хочет пообщаться пользователь, не внесенный в ваш контакт-лист. Для того чтобы отправить вам сообщение и начать разговор, ему придется ответить на вопрос. До тех пор, пока ответ не будет дан, он не сможет ничего написать. При этом желательно использовать вопросы, ответы на которые всем известны, например: «Сколько будет 2+2*2?» или: «Название нашей планеты». Если пользователь напишет соответственно «6» или «Земля» и отошлет это сообщение, ему будет разрешено вам писать. Такая защита достаточно успешно противостоит различным ботам, рассылающим спам, однако есть вероятность, что некоторые из них достаточно интеллектуальны для того, чтобы отвечать на самые популярные вопросы – например, на те, что стоят в защитных модулях по умолчанию.

Заключение

Как уже было сказано, программы для мгновенного обмена сообщениями весьма привлекательны для различного рода злоумышленников, в связи с чем проблема распространения вредоносного ПО через IM-клиенты стоит достаточно остро. Новые версии клиентов содержат неизвестные до поры до времени уязвимости, которые могут быть обнаружены сначала хакерами, и только потом – создателями программы. Такие ситуации чреваты массовыми эпидемиями. Кроме того, многих пользователей беспокоят нежелательные сообщения (IM-спам).

Специфических средств защиты IM-клиентов на данный момент не существует, однако соблюдение элементарных правил «компьютерной гигиены», правильно настроенный антиспам-бот, а также внимательность и благоразумие позволяют пользователям успешно противостоять интернет-мошенникам и спокойно наслаждаться общением в Сети.

1C заставляет переходить на "восьмерку"

2008-05-25T14:32:00.005+10:00

1С медленно, но верно заставляет переходить своих пользователей с 1С:Предприятие 7.7 на 1С:Предприятие 8.0-8.1. О грядущем росте цен на продукты седьмой версии говорилось еще на апрельском Едином Семинаре. И вот - грянуло.

Для того чтобы удовлетворить остающийся пока спрос на продукты "1С:Предприятия 7.7", а также обеспечить сопровождение ранее проданных программ на тех же условиях, что и в период с 1996 по 2007 годы, фирма "1С":
Вносит изменения в цены, условия поставки и сопровождения продуктов "1С:Предприятия 7.7".
Производит замену части ассортимента "1С:Предприятие 7.7" на аналогичные решения на платформе "1С:Предприятие 8".

Все перечисленные изменения полностью будут введены в действие не позднее 1 июля 2008 года.

Изменится и форма поставки.
Отличия:
Отличия "новых" продуктов от поставляемых в настоящее время следующие:
новый штрихкод и измененное наименование продукта на коробке;
новая форма регистрационной карточки;
новая цена в прайс-листе;
ключ защиты для USB-порта (а не для LPT как в текущих поставках);
дистрибутив - на CD-ROM (ранее часть продуктов имела дистрибутивы на магнитных дискетах);
новые условия сопровождения в рамках Информационно- технологического сопровождения (ИТС) по схеме для продуктов линейки "1С:Предприятия 8" версий ПРОФ: первые полгода обслуживание бесплатное, далее - только по платной подписке на ИТС.

Подробнее об этом можно прочитать здесь

Тетрис

2008-05-20T20:14:00.008+10:00

Уважаемые читатели!

Приглашаю принять участие в разработке программы! По этой ссылке вы можете скачать игру "Тетрис", и принять участие в ее тестировании и доработке. Отзывы и отчеты о багах прошу направлять в комментарии.

Тетрис разработан на основе исходников, написаных Xenofont'ом. ПО распространяется совершенно свободно и без ограничений.

Slax

2008-05-15T05:47:00.009+10:00

Slax 6.0.2

LiveCD-дистрибутив, базирующийся на Slackware. Одними из главных особенностей SLAX являются возможность полной загрузки операционки в ОЗУ и сохранение настроек в раздел жесткого диска. Хотя можно отметить еще одно преимущество — модульная структура, что позволяет легко модифицировать его под конкретные нужды, включив в состав диска нужные приложения. Дистрибутив собирается буквально по кирпичикам. Модули (нечто вроде пакетов) имеют расширение *.mo, в составе одного модуля может быть размещено несколько приложений, совпадающих по направлению. На сайте проекта в каталоге modules можно найти 11 категорий модулей, и в каждой несколько десятков готовых решений.

Ссылки для скачивания

slax-6.0.2.zip.001
slax-6.0.2.zip.002
slax-6.0.2.zip.003
slax-6.0.2.zip.004
slax-6.0.2.zip.005
slax-6.0.2.zip.006
slax-6.0.2.zip.007

Общий размер архива - 192 Мб

Приветствую вас!

2008-05-14T06:36:00.009+10:00

Уважаемые читатели!

Приветствую вас на моем новом месте сетевого обитания. Надеюсь, у меня получится здесь обжиться.

Раньше я обитал на ЖЖ, но мне там надоело. Теперь вот решил попробовать блогспот.

Что здесь будет:
Ну, думаю вы обо всем догадались из новостей.
- 1С - новые релизы платформ и конфигураций, новинки, новости, статьи и прочее
- Линукс - кой-какие дистрибутивы (в основном Дебиан), статьи
- Майкрософт - статьи
- Касперский - статьи, новинки и прочее