Периферія

Ssdp протоколу. Вимкнення непотрібних служб Windows. Атакувати з використанням техніки session puzzling

Попередження: даний процес має на увазі деяку міру ризику, а тому бажано мати хоча б загальне уявлення про те, що ми збираємося зробити. Якщо потрібно повернути всі служби у стан за замовчуванням, то завантажити готові рег-файли можна. Вибираєте свою систему та завантажуєте архів. Після закачування архів розпаковуєте та запускаєте рег-файл.

Повний опис служб, а також назву та ім'я, що відображається, можна переглянути та змінити стан по цьому шляху: Пуск – Панель управління – Адміністрація – Служби.

Але не всі служби потрібні для нормальної роботи комп'ютера. Нижче наведено список служб, які вимкнені або включені до моєї конфігурації. Користувач один(з правами адміністратора), до мережі не підключений. Для виходу в Інтернет я використовую мобільний телефон як модемне з'єднання.

AST Service(Nalpeiron Licensing Service) - Вимкнено.

BranchCache(Ця служба кешує мережевий вміст, отриманий від вузлів кешуючих локальної підмережі) - Вручну.

DHCP-клієнт(Реєструє та оновлює IP-адреси та DNS-записи для цього комп'ютера) - Авто

DNS-клієнт(Служба DNS-клієнта (dnscache) кешує імена DNS (Domain Name System) та реєструє повне ім'я даного комп'ютера.) - Вимкнено. За наявності мережі - Авто

KtmRm для координатора розподілених транзакцій(Координує транзакції між MS DTC та диспетчером транзакцій ядра (KTM).) ​​- Вручну.

Microsoft .NET Framework NGEN v2.0.50727_X86(Microsoft .NET Framework NGEN) – Вручну.

Parental Controls(Ця служба є заглушкою для функціональних можливостей служби батьківського контролю Windows, яка існувала в ОС Vista.) - Вручну.

Plug-and-Play(Дозволяє комп'ютеру розпізнавати зміни у встановленому устаткуванні та підлаштовуватися під них, або не вимагаючи втручання користувача, або зводячи його до мінімуму) - Авто

Якість Windows Audio Video Experience (Quality Windows Audio Video Experience (qWave)- мережна платформа для потокової передачі аудіо та відео в домашніх мережах на основі IP-протоколу) - Вручну.

Remote Desktop Configuration(Remote Desktop Configuration) - Вручну.

Superfetch(Підтримує та покращує продуктивність системи.) - Авто

Windows Audio(Керування засобами роботи зі звуком для програм Windows.) - Авто.

Windows CardSpace(Це забезпечує надійну можливість створення, керування та розкриття цифрових посвідчень.) - Вручну

Windows Driver Foundation - User-mode Driver Framework(Управління хост-процесами драйверів користувача режиму.) - Вручну.

Windows Search(Індексування контенту, кешування властивостей та результатів пошуку для файлів, електронної пошти та іншого контенту.) - Авто. Якщо не використовуєте пошук на комп'ютері, то можна і Вимкнути.

WMI Performance Adapter(Provides performance library information from Windows Management Instrumentation (WMI) providers to clients on the network.) - Вручну.

Автоналаштування WWAN(Ця служба керує мобільними широкосмуговими (GSM та CDMA) картками даних та вбудованими модульними адаптерами, а також підключеннями та автоматичним налаштуванням мереж.) - Вручну.

Автономні файли(Служба автономних файлів виконує роботу з обслуговування кешу автономних файлів,) - Вручну.

Агент захисту мережного доступу(Агент служби захисту доступу до мережі збирає та керує відомостями про працездатність клієнтських комп'ютерів у мережі) - Вручну.

А гент політики IPsec(Безпека протоколу IP (IPsec) підтримує перевірку справжності кешуючих вузлів на мережному рівні) - Вручну.

Адаптивне регулювання яскравості(Призначена для спостереження за датчиком зовнішнього освітлення та коригування яскравості монітора відповідно до змін освітленості.) - Вручну.

Архівація Windows(Підтримка архівації та відновлення у Windows.) - Вручну.

Біометрична служба Windows(Біометрична служба Windows призначена для збору, порівняння, обробки та зберігання біометричних даних у клієнтських додатках без отримання безпосереднього доступу до біометричних зразків або обладнання) - Вручну.

Брандмауер Windows(Брандмауер Windows допомагає запобігти несанкціонованому доступу до комп'ютера через Інтернет або мережу.) - Вимкнено. Використовується Брандмауер від стороннього виробника.

Веб-клієнт(Дозволяє Windows-програмам створювати, отримувати доступ та змінювати файли, що зберігаються в Інтернеті) - Вручну.

Віртуальний диск(Надання служб керування дисками, томами, файловими системами та масивами пристроїв, що запам'ятовують.) - Вручну.

Допоміжна служба IP(Provides tunnel connectivity using IPv6 transition technologies) - Вручну.

Вторинний вхід до системи(Дозволяє запускати процеси від імені іншого користувача) - Вручну.

Угруповання мережевих учасників(Включає багатосторонні взаємодії за допомогою групування однорангової мережі.) - Вручну.

Дефрагментація диска(Надає можливість дефрагментації дисків.) - Вручну. Можна залишити і Авто, задавши розклад для запуску.

Диспетчер автоматичних підключень для віддаленого доступу(Створює підключення до віддаленої мережі, коли програма звертається до віддаленого DNS або NetBIOS імені або адреси.) - Вручну.

Диспетчер друку(Завантаження файлів у пам'ять, щоб надрукувати пізніше) - Авто. Якщо немає принтера, то Вимкнено.

Диспетчер з'єднань віддаленого доступу(Керує підключення віддаленого доступу та віртуальної приватної мережі (VPN) з даного комп'ютера до Інтернету або інших віддалених мереж.) - Вручну.

Диспетчер сеансів диспетчера вікон робочого столу(Забезпечує запуск та обслуговування диспетчера вікон робочого столу) - Авто.

Диспетчер посвідчення мережевих учасників(Надає послуги ідентифікації для протоколу однорангового дозволу імен (PNRP) та угруповання однорангової мережі) - Вручну.

Диспетчер облікових даних(Забезпечує захищене зберігання та вилучення облікових даних користувачів,) - Вручну.

Диспетчер облікових записів безпеки(Запуск цієї служби служить для інших служб сигналом про те, що диспетчер облікових записів безпеки (SAM) готовий до прийому запитів.) - Авто.

Доступ до пристроїв HID(Забезпечує універсальний доступ до HID-пристроїв) - Вручну.

Журнал подій Windows(Ця служба керує подіями та журналами подій) - Авто.

Журнали та оповіщення продуктивності(Служба журналів продуктивності та оповіщень збирає дані з локальних та віддалених комп'ютерів відповідно до заданих параметрів розкладу, а потім записує дані до журналу або видає оповіщення.) - Вручну.

Захист програмного забезпечення(Дозволяє завантаження, встановлення та примусове застосування цифрових ліцензій для Windows та додатків Windows) - Авто.

Захисник Windows(Захист від шпигунських та потенційно небезпечних програм) - Авто. Але все ж таки рекомендується використовувати продукти від сторонніх виробників для захисту свого комп'ютера від вірусів.

Ізоляція ключів CNG(Служба ізоляції ключів CNG розміщується у процесі LSA) - Вручну.

Інструментарій керування Windows(Надає загальний інтерфейс та об'єктну модель для доступу до інформації про керування операційною системою, пристроями, додатками та службами.) - Авто.

Інформація про сумісність програм(Обробка запитів на перевірку сумісності додатків у міру їх запуску) - Вручну.

Клієнт групової політики(Ця служба відповідає за застосування параметрів, визначених адміністраторами для комп'ютерів та користувачів через компонент групової політики.) - Авто.

Клієнт відстеження зв'язків, що змінилися(Підтримує зв'язки NTFS-файлів, що переміщуються в межах комп'ютера або між комп'ютерами в мережі.) - Авто.

Координатор розподілених транзакцій(Координація транзакцій, що охоплюють кілька диспетчерів ресурсів, таких як бази даних, черги повідомлень та файлові системи.) - Вручну.

Кеш шрифтів Windows Presentation Foundation(Оптимізує продуктивність програм Windows Presentation Foundation (WPF) шляхом кешування даних, що зазвичай використовуються, шрифтів.) - Вручну.

Пастка SNMP(Приймає повідомлення перехоплення, створені локальними або віддаленими агентами SNMP та пересилає їх програмам керування SNMP, запущеним на цьому комп'ютері.) - Вручну.

Локатор віддаленого виклику процедур (RPC)(У Windows 2003 і попередніх версіях Windows служба "Локатор віддаленого виклику процедур (RPC)" керувала базою даних служби імен RPC.) - Вручну.

Маршрутизація та віддалений доступ(Пропонує послуги маршрутизації організаціям у локальній та глобальній мережі) - Вимкнено.

Модулі ключів IPsec для обміну ключами в Інтернеті та протоколу IP з автентифікацією(Служба IKEEXT містить модулі для роботи з ключами в Інтернеті (IKE) та за протоколом IP з автентичністю (AuthIP).) - Авто.

Модуль запуску процесів DCOM-сервера(Служба DCOMLAUNCH запускає сервери COM та DCOM у відповідь на запити активації об'єктів) - Авто.

Модуль підтримки NetBIOS через TCP/IP(Здійснює підтримку NetBIOS через службу TCP/IP (NetBT) та дозвіл імен NetBIOS для клієнтів у мережі) - Вручну.

Негайне підключення Windows - реєстратор налаштування(Служба WCNCSVC містить конфігурацію Windows Connect Now (реалізація протоколу WPS від Microsoft)) - Вручну

Виявлення SSDP(Виявляє мережні пристрої та служби, що використовують протокол виявлення SSDP, такі як пристрої UPnP) - Вручну.

Виявлення інтерактивних служб(Включає повідомлення користувача про необхідність введення користувача для інтерактивних служб, яке надає доступ до діалогових вікон, створених інтерактивними службами, в міру їх появи.) - Вручну

Оглядач комп'ютерів(Обслуговує список комп'ютерів у мережі та видає його програмам на запит) - Вручну.

Загальний доступ до Інтернету (ICS)(Надає служби трансляції мережевих адрес, адресації, дозволу імен та служби запобігання вторгненню для домашньої мережі або мережі невеликого офісу.) - Вимкнено.

Визначення обладнання оболонки(Надає повідомлення для подій автозапуску на різних пристроях.) - Авто.

Основні служби довіреного платформного модуля(Дозволяє доступ до довіреного платформного модуля (TPM), який надає послуги криптографії на основі обладнання компонентам системи та додаткам.) - Вручну

У Windows NT/2000/XP/Vista/Seven служби - це програми, які виконуються у фоновому режимі і не мають інтерфейсу користувача. Багато служб – важливі компоненти системи, без яких неможлива правильна робота операційної системи. Але відключення деяких служб не завдасть шкоди системі. І при цьому дозволить зменшити навантаження на процесор та заощадити пам'ять. Це служби, які не потрібні для реалізації функціональності якоїсь конкретної машини, яка налаштована на певні завдання. Наприклад, якщо комп'ютер не підключений до мережі Інтернет, то для нього немає потреби у службі «Мережні підключення» та інших службах, пов'язаних із мережею.

Майже всі системні служби залежать одна від одної, так що необхідно бути дуже обережним, змінюючи стандартні налаштування. При відключенні однієї служби не запустяться всі служби, які залежать від неї. Це може спричинити неприємні наслідки. Тому перш ніж пуститись в експерименти, краще створити резервну копію того розділу реєстру, який несе відповідальність за запуск системних служб. А саме: .

У цій статті будуть описані служби Speed ​​Disk Service, Norton Unerase Protection, AVP Control Centre Service тощо, які з'являються після встановлення відповідних компонентів. Розібратися з ними користувачеві належить самостійно.

Необхідно враховувати, що у Windows можна настроїти служби для кожного облікового запису. Таким чином, якщо комп'ютером користується кілька осіб, і кожному він необхідний для власних потреб, то кожен може залишити ті служби, якими саме він користуватиметься.

І ще один важливий момент. Ця стаття написана, щоб розповісти широкому загалу про можливості оптимізації системи, і не закликає робити жодних неосмислених дій щодо цього. Необхідно пам'ятати, що відключивши якусь службу, ви вплине на роботу завдань, що виконуються на цій машині, і якщо згодом системі знадобиться відключений сервіс, не варто звинувачувати автора цих рядків.

Перед роботою зі службами введіть у командному рядку «services.msc» або оберіть відповідний пункт у меню «Пуск». Відкрийте "Панель керування", далі "Адміністрація" > "Служби". У стовпці «Стан» показано поточний стан служби (вимкнено або працює), у стовпці «Тип запуску» показано, чи буде служба автоматично запускатися під час завантаження Windows. Щоб відключити службу, клацніть по ній двічі і в графі «Тип запуску» встановіть «Вимкнено». Тут можна відключити службу для негайного припинення роботи.

Нижче наведено послуги, які можна вимкнути, але тільки якщо ви не користуєтеся відповідними функціями комп'ютера.

"Служба виявлення SSDP" , "Вузол універсальних PnP-пристроїв- Це служби, які призначені для підключення до комп'ютера «розумної» побутової техніки. У більшості російських громадян такої техніки просто немає. Ці служби можна відключити.

"Автоматичне оновлення", "Адаптер продуктивності WMI", "Модуль підтримки смарт-карт", "Смарт-карти", "Серійний номер переносного медіа-пристрою"
– У російських умовах ці служби використовуються досить рідко. Детальний опис служб шукайте у спеціалізованих джерелах.

"Вторинний вхід до системи" , "Сумісність швидкого перемикання користувачів"– можна вимкнути, якщо у системи лише один користувач.

"Планувальник завдань"– можна вимкнути, якщо ви не плануєте запускати програми, задані розкладом.

"Джерело безперебійного живлення"– Цю службу можна вимкнути, якщо ви не користуєтеся джерелом безперебійного живлення.

"Клієнт відстеження зв'язків, що змінилися- для жорсткого диска не застосовується файлова система NTFS, то можна видалити цю службу.

"Тіньове копіювання тома- Ви можете видалити цю службу, якщо в комп'ютері використовується не RAID-масив, а звичайний жорсткий диск.

"Диспетчер черги друку"– якщо принтер не підключено до комп'ютера, можна видалити цю службу.

"Бездротове налаштування"– якщо у вас не ноутбук або ноутбук без Wi-Fi адаптера, призначеного для підключення до мережі по радіоканалу, то цю службу можна видалити.

– при видаленні цієї служби інтернет браузер не буде намагатися підключення до інтернету під час перегляду сторінок з елементами, що оновлюються.

"Служба індексування- при видаленні цієї служби зменшиться місце, яке займає система на диску, прискориться відкриття файлів, система, але пошук за допомогою внутрішніх засобів провідника буде проводитися повільніше. , звільнивши таким чином місце на жорсткому диску.

"Службу реєстрації помилок", "Журнали та оповіщення продуктивності", "Сповіщення про системні події"-Можна відключити, так більшості користувачів не доводиться вести протоколи системних помилок.

"NetMeeting Remote Desktop Sharing Telnet", "Диспетчер мережного DDE", "Диспетчер сеансу довідки для віддаленого робочого столу", "Обозреватель комп'ютерів", "Диспетчер облікових записів безпеки", "Робоча станція", "Модуль підтримки NetBIOS через TCP/IP" , "Оповідач", "Сервер папки обміну", "Мережевий вхід до системи", "Служба повідомлень", "Служба мережного DDE", "Сервер", "Служба мережного розташування NLA", "Служби криптографії", "Служби терміналів", "Віддалений реєстр", "Фонова інтелектуальна служба передачі" - Ви можете вимкнути ці служби, якщо у вас немає локальної мережі.

"Диспетчер автоз'єднань віддаленого доступу"- при видаленні цієї служби інтернет браузер не буде робити спроби підключення до інтернету під час перегляду сторінок з елементами, що оновлюються.

"QoS RSVP", "DNS-клієнт", "DHCP-клієнт", "Диспетчер відвантаження", "Брандмауер інтернету", "Веб-клієнт", "Телефонія", "Служба шлюзу рівня програми", "Захищене сховище", " Служби IPSEC", "Маршрутизація та віддалений доступ", "Мережеві підключення", "Диспетчер підключень віддаленого доступу" - ці служби можна вимкнути, якщо комп'ютер не має ні модему, ні локальної мережі.

"Служба часу Windows"- якщо ви не збираєтеся синхронізувати через інтернет годинник вашого комп'ютера з атомним годинником.

"Служба COM запису компакт-дисків IMAPI"- якщо замість вбудованих у Windows засобів запису дисків ви використовуєте спеціалізовану програму (WinOnCD або Nero Burning ROM), то можете видалити цю службу.

Служби (Services)- це програми, які запускаються у фоновому режимі під час завантаження системи або при виникненні певних подій та забезпечують основні функціональні можливості операційної системи. Як правило, служби не мають графічного інтерфейсу, тому їхня робота здебільшого не помітна для користувача.

При стандартній установці Windows XP Professional в систему встановлюється близько 80 різноманітних служб. І незважаючи на те, що не всі з них запускаються автоматично, кількість працюючих за умовчанням все одно здається занадто завищеною, якщо врахувати, що значна частина від загальної кількості вразливостей, що коли-небудь виявлені в цій ОС, припадає саме на системні служби. До того ж, у домашніх умовах у багатьох службах, що працюють за умовчанням, просто немає жодної необхідності.

З цих і ряду інших причин, пов'язаних з оптимізацією роботи комп'ютера, рекомендовано відключити всі невикористані вами служби. Більше того, відключення непотрібних служб та функцій – один із найефективніших способів захисту від можливих нападів.

Щоб переглянути список усіх служб, встановлених на комп'ютері, ви можете:

Пуск (Start) > Панель Управління (Control Panel) > Адміністрація (Administrative Tools) > Служби (Services)

Або запустивши з командного рядка services.msc:

Пуск (Start) > Виконати (Run) > копіюємо у рядок: services.msc > натискаємо ОК або клавішу ENTER

Щоб змінити значення типу запуску, встановлене за замовчуванням, клацніть по потрібній службі подвійним натисканням миші і у вікні властивостей, що відкрилося в першій закладці - "Загальні" ("General")- Виберіть бажаний "Тип запуску" ("StartUp Type"):

Нижче наведено основний список служб в алфавітному порядку, для яких "Тип Запуску" рекомендується встановити в положення "Відключено" ("Disabled").

Однак як загальне правило потрібно прийняти, що необхідно відключити все, що не використовується!

  • Бездротове налаштування (Wireless Zero Configuration)- відключаємо через повну непотрібність у тому випадку, якщо у вас немає адаптерів бездротового зв'язку, і ви не збираєтеся використовувати "нульову" конфігурацію бездротової мережі (WZCS key handling).
  • Веб-клієнт (WebClient)- дозволяє програмам Windows створювати, зберігати та змінювати файли, що знаходяться на серверах WebDAV * (Використання Web Publishing Wizard для публікації даних в Інтернет). На перегляд ресурсів в Інтернеті відключення цієї служби ніяк не впливає, оскільки вона використовується тільки для WebDAV-підключень, до того ж програми, яким цей мережевий протокол необхідний, зазвичай мають вбудовані перенаправники WebDAV, що працюють незалежно від служби "Веб-клієнт" ( MS06-008).
  • Диспетчер черги друку (Print Spooler)- відповідає за обробку, планування та розподіл документів, призначених для друку. Обов'язково відключаємо, якщо у вас немає принтера (MS05-043, US-CERT VU#914617).
  • Диспетчер сеансу довідки для віддаленого робочого столу (Remote Desktop Help Session Manager)- керує можливостями віддаленого помічника. Вимкніть, якщо не використовуєте цю функцію (MS05-041).
  • Диспетчер мережевого DDE** (Network DDE DSDM)- керує загальними ресурсами мережного динамічного обміну даними (DDE).
  • Маршрутизація та віддалений доступ (Routing and Remote Access)- забезпечує багатопротокольні функції маршрутизації, підключення віддаленого доступу та віддаленого доступу через мережу VPN (MS06-025).
  • Модуль підтримки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service)- ця служба необхідна при спільному використанні ресурсів та мережного друку. Вимкніть, якщо у вас немає потреби в цих функціях.
  • Оглядач комп'ютера (Computer Browser)- забезпечує функціонування списку доменів Windows, комп'ютерів у масштабі всієї мережі та інших апаратних пристроїв, сумісних з протоколом NetBIOS. Для звичайних користувачів та домашніх комп'ютерів ця служба є повністю марною (MS05-007).
  • Оповіщувач (Alerter)- посилає вибраним користувачам та комп'ютерам адміністративні оповіщення. У домашніх умовах служба не потрібна (CVE-1999-0630).
  • Планувальник завдань (Task Scheduler)- дозволяє складати розклад для запуску програм, скриптів або резервного копіювання (Пуск/Start > Програми/Programs > Стандартні/Accessories > Службові/System Tools > Призначені завдання/Scheduled Tasks). Якщо ви ніколи не використовуєте призначені завдання, вимкніть цю службу.
  • Сервер (Server)- Виконує основні функції сервера: забезпечує спільне використання файлів, принтерів, іменованих каналів у мережі. Якщо у вас немає необхідності відкривати доступ до ваших файлів та принтерів, обов'язково відключаємо (MS06-035, MS06-040, MS06-063).
  • Сервер папки обміну (ClipBook)- дозволяє переглядати вміст папки буфера обміну віддаленим користувачам.
    Просмощник буфера обміну *** (ClipBook Viewer) відкривається так: Пуск (Start) > Програми (Programs) > Стандартні (Accessories) > Вікно папки обміну (ClipBook Viewer); або у верхньому меню Acrobat Reader: Window > Clipboard Viewer. Якщо ви не хочете ні з ким обмінюватися цією інформацією, вимкніть цю службу.
  • Мережевий вхід до системи (Net Logon)- дана служба забезпечує безпеку автентифікації користувача при підключенні його комп'ютера до домену. Якщо комп'ютер не входить до домену, вимкніть його.
  • Служба індексування (Indexing Service)- індексує вміст та властивості файлів на локальному та віддалених комп'ютерах, що дозволяє здійснювати пошук будь-якого слова чи фрази, що містяться у документах користувача. Звичайний пошук файлів після вимкнення цієї служби не уповільнюється (MS06-053).
  • Служба виявлення SSDP (SSDP Discovery Service)- Виконує пошук пристроїв UPnP **** у домашній мережі. Обов'язково відключаємо у випадку, якщо ви не працюєте з мережевими пристроями (MS01-059).
  • Служба повідомлень (Messenger)- надсилає та отримує повідомлення, передані адміністратором або службою оповіщень. За відсутності мережі (і відповідно адміністратора) абсолютно марна (ніякого відношення до програми Windows/MSN Messenger, ця служба не має). Також бажано відключити для того, щоб заборонити net send повідомлення для приховання вашого комп'ютера від автоматизованих спам розсилок (MS03-043).
  • Служба мережевого DDE (Network DDE)- забезпечує мережевий транспорт та безпеку для динамічного обміну даними (DDE) для програм, що виконуються на локальному чи віддалених комп'ютерах.
  • Служби терміналів (Terminal Services)- надає можливість кільком користувачам інтерактивно підключатися до комп'ютера, є основою для віддаленого робочого столу (включаючи віддалене адміністрування), швидкого перемикання користувачів та віддаленого помічника (MS05-041, MS07-006).
  • Служби IPSEC (IPSEC Services)- ця служба зазвичай використовується для шифрування IP-трафіку між робочою станцією та доменом, а також для VPN-з'єднань. Якщо ви не входите в домен і у вас немає VPN-мережі, цю службу можна вимкнути.
  • Віддалений реєстр (Remote Registry Service)- дозволяє віддаленим користувачам змінювати настройки реєстру на вашому комп'ютері.
  • Вузол універсальних PnP-пристроїв (Universal Plug and Play Device Host)- забезпечує підтримку та керування UPnP-пристроями. Вимкніть, якщо ви не підключаєте до своєї мережі будь-які пристрої UPnP (MS01-059).
  • NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing)- забезпечує віддалений доступ відповідним користувачам до робочого столу Windows з інших комп'ютерів за допомогою програми Windows NetMeeting (програма NetMeeting призначена для проведення аудіо та відеоконференцій у мережі). Вимикаємо, якщо не використовується (MS05-041, MS04-011).
  • Telnet (Telnet)- Забезпечує можливість з'єднання та віддаленої роботи в системі за протоколом Telnet (Teletype Network) за допомогою командного інтерпретатора. Не використовує шифрування і тому дуже вразливий для атак у разі застосування його в мережі (MS05-003).

_________________________

* WebDAV (Web Distributed Authoring and Versioning) - це сучасний та захищений мережевий протокол високого рівня, що розширює та працює поверх HTTP (Hypertext Transfer Protocol) для управління та зручнішої роботи з файлами та документами між комп'ютерами в Інтернет.

** Динамічний обмін даними (DDE) був однією з перших технологій, за допомогою якої виявився можливим обмін інформацією між програмами. Пізніше механізм DDE замінили на автоматизацію OLE; Тим не менш, DDE все ще підтримується для сумісності зі застарілими програмами.

*** Буфер обміну знаходиться в активному стані протягом усього часу вашої роботи у Windows. Наприклад, коли ви виділяєте текст або якісь графічні елементи всередині програми і потім даєте команду "Копіювати" ("Copy") або "Вирізати" ("Cut"), ви переміщаєте всю вибрану інформацію в буфер обміну (Clipboard). За командою "Вставити" ("Paste") вміст буфера обміну копіюється у програму.

**** UPnP (Universal Plug and Play) - це універсальне автоматичне налаштування та підключення мережних пристроїв один до одного, внаслідок чого мережа (наприклад, домашня) може стати доступною більшій кількості людей.

Змінено 2 вересня, 2007 Користувачем Saule

Рішення

Технологій стає дедалі більше. Вони народжуються, змінюються, зникають та перероджуються. Все це створює велику грудку, яка росте і росте. Найчастіше в багатьох компаніях розібратися з тим, що взагалі використовується в корпоративній інфраструктурі, - це вже велике завдання, не кажучи про те, щоб це все безпечно налаштувати... Це я до того, що місць, через які ми можемо щось десь поламати або хоча б вивідати, – величезна кількість. Сьогодні цього ми і торкнемося. І першим прикладом буде електронна пошта.

WARNING

Вся інформація надана виключно для ознайомлення. Ні редакція, ні автор не несуть відповідальності за будь-яку можливу шкоду, заподіяну матеріалами цієї статті.

Як сервіс вона була вигадана багато років тому. У її основі лежить протокол SMTP, що функціонує двадцять п'ятому TCP-порту. Принцип роботи виглядає приблизно так. Ми, використовуючи свій поштовий клієнт, підключаємося до поштового сервера (Mail Transfer Agent) по SMTP і кажемо, що хочемо надіслати листа на таку адресу. MTA приймає від нас листа та підключається до того MTA-серверу (знову за SMTP), куди ми надсилаємо листа. IP-адреса віддаленого MTA наша MTA отримує з MX-запису тієї доменної зони, куди ми шлемо листа (те, що йде в email після @). Знайти MX-запис (читай - MTA) для будь-якого домену дуже просто:

Nix: dig MX any_host_name.com Win: nslookup -type=mx any_host_name.com

Ти навіть сам можеш надіслати листа, використовуючи ncat або Telnet. Все, що потрібно, - це чотири команди: HELO, MAIL TO, RCPT TO, DATA (хоча є низка обмежень залежно від налаштувань сервера). Також варто зазначити, що кожен лист має заголовки та тіло повідомлення. Заголовки лише частково відображаються кінцевому користувачеві (наприклад, Subject:) і використовуються, наприклад, при поверненні листа через проблеми в кінцевому MTA.

Але найважливіше, що фактично лист проходить більше ніж через один MTA і кожен із них додає ряд своїх заголовків. Причому тут усі дуже й дуже «говіркі». Наприклад, якщо лист приходить з якоїсь корпоративної мережі до нас на пошту, то ми, швидше за все, побачимо в заголовках IP-адресу користувача, що його оправив (тобто того, хто підключився до внутрішнього MTA в корпоративній мережі) і версію поштового клієнта . Далі ми побачимо дані вже самого MTA: IP-адресу (або ім'я в корпоративному домені), версію серверного ПЗ. А після цього дуже часто – аналогічний запис, але вже по іншому мережному інтерфейсу MTA.

На додаток до цього можна часто побачити версію корпоративного антивіруса, що перевіряє всю пошту, або застосовуваного спам-фільтра, а також характеристики детекту спаму. Все це можна використовувати для більш заточених атак з використанням соціальної інженерії. Наприклад, у певних ситуаціях ми можемо заздалегідь відстежувати ймовірність, що наш лист потрапить у спам. До речі, якщо ти надсилаєш листа через якийсь веб-сайт (наприклад, mail.ru), то твій IP теж можна буде побачити в заголовках.

Як подивитися ці заголовки? Дуже просто. Усі поштові клієнти підтримують їх. Наприклад, у Thunderbird - . У Gmail – стрілка «Ще» – показати оригінал. При аналізі заголовків Received (тобто списку листа, що брали участь у пересиланні) потрібно пам'ятати, що вони йдуть у зворотному порядку. А для спрощення парсингу їх рекомендую скористатися якимось онлайн-сервісом (яких чимало), наприклад, E-Mail Header Analyzer.

Підсумок. Надсилаємо один лист секретарці до якоїсь компанії, та нам відповідає. І ми вже знаємо, що як у них там:).


Отримати список доменів

Рішення

Продовжимо збирання інформації. Давай уявімо компанію, яку ми хочемо поламати зовні. Одне з перших завдань для пентесту через інтернет – отримати список доменних імен/віртуальних хостів. Методів багато, і вони старі як світ: зворотний резол IP, перебір імен, гуглохакінг. І жоден з них не дає повного результату, так що спробуємо використати їх усі разом, принагідно додавши чогось новенького:).

"Нове" - це збір інформації про імена за допомогою SSL. Отже, давай згадаймо основу. При підключенні SSL до будь-якого сервера він повертає нам свій сертифікат. Сертифікат - це набір полів (у тому числі відкритий ключ сервера), підписаний кореневим центром сертифікації. У ньому також є поле CN (Common Name), де міститься ім'я сервера, який виданий даний сертифікат. Це вже щось.

Наприклад, коли ми скануємо за IP-адресами мережу і знаходимо якийсь HTTP-сервер, часто ми можемо отримати від нього відповідь з помилкою (403). Все правильно, адже ми не знаємо, що вказувати в заголовку Host HTTP-запиту. Ось тут і знадобиться ім'я сервера. Подивимося в SSL-сертифікат і вуаля - ми вже знаємо, що підставити в заголовок.

Але це ще не все. Є ще одне маловідоме поле того ж сертифіката - SubjectAltName. Воно дозволяє задавати альтернативні імена. Тобто практично один ключик може бути використаний для різних імен. Дивися малюнки, і все стане ясно.

Виходить, що начебто з «сек'юріті»-фішки ми дістаємо крихти інформації, що нас цікавить. Зазначу ще з особистого досвіду, що іноді до сертифікатів потрапляє інформація і про внутрішні імена хостів.

Атакувати з використанням техніки session puzzling

Рішення

Логічні вразливості – це завжди весело. Вони бувають простими та складними, але їх поєднує одне – необхідність правильно подумати. Ось тільки є з ними і невелика проблема: їх якось не особливо типізують (можливо, саме тому, що вони всі такі різноманітні:)). Ну та гаразд. Хочу розповісти тобі про цікаву техніку (або вид уразливостей, це як подивитися), яку презентували відносно недавно, кілька років тому. Назва їй – session puzzling або session variable overloading (за версією OWASP).

Для початку давай згадаємо, як веб-додатки аутентифікують і авторизують користувача (HTTP адже stateless).

  1. Користувач входить на сайт.
  2. Користувач вводить логін та пароль і відправляє на сервер.
  3. Сервер перевіряє ці дані і, якщо все правильно, пускає його у внутрішню частину, причому відправляючи користувачеві cookie в HTTP-ответе.
  4. Коли користувач переходить на якусь сторінку, браузер додає до запиту куки. Сервер з цієї куке розуміє, що користувач вже автентифікований, і працює відповідно до цієї думки.

Все виглядає цілком чітко, але тут пропущено важливу мить. Він у тому, що сервер зберігає в собі інформацію про сесії конкретного користувача. Тобто приходить кука від користувача, він бере її і дивиться (у пам'яті, в БД - залежно від ПЗ), а що до неї у нього «прив'язано». Найпростіший приклад: він може зберігати ім'я користувача у сесії. І по куку отримувати з сесії ім'я і точно знати, хто до нього звернувся зараз.

Загалом у сесії зберігають зазвичай «тимчасову» інформацію, а щось більш-менш постійне - вже в БД. Наприклад, логічно зберігати ім'я користувача в сесії, тоді як його «роль» можна зберігати у БД і запитувати лише за необхідності. Тут, насправді, багато залежить від конкретного додатка та розробника ПЗ.

Наприклад, збереження великого обсягу даних у сесії може призвести до вичерпання або пам'яті веб-сервера (Tomcat), або вільного місця на жорсткому диску (PHP). З іншого боку, звернення до БД потребують більше часу. Зумовлений вибір зазвичай продуктивністю, і про безпеку тут рідко думають (звісно, ​​адже як можна вплинути на те, що зберігається на серверній стороні?).

І ось ми підійшли до самої суті цієї атаки: у певних ситуаціях ми можемо впливати на те, що зберігається на сервері. У яких саме - це теж залежить від ситуації. Найчастіше нам потрібні кілька різних точок входу в додатки, дані з яких потрапляють в ту саму змінну сесії.

Я наведу класичний приклад і все буде ясно. Та сама ситуація, що описана вище. Клієнт, який може входити до приватної зони на сайті через сторінку логіну. Сайт, який зберігає ім'я клієнта у сесії, а доступ до приватних сторінок перевіряє на ім'я користувача із сесії.

Але додамо до цього сторінку з відновленням пароля, на якій ти повинен ввести своє ім'я (1), а система у відповідь поставить секретне запитання (2), на яке ти повинен будеш ввести правильну відповідь для скидання пароля (3). І, як ти ймовірно вже зрозумів, щоб провести за цією послідовністю тебе (від 1 до 3), сервер повинен також скористатися сесією і зберігати в ній ім'я користувача.

Так ось, атака полягатиме в тому, що, коли ми заходимо на сторінку відновлення і вводимо ім'я користувача адміністратора, сервер у сесії зазначає, що користувач - адмін, і виводить для адміністратора таємне питання. Всі! Ми можемо нічого не вводити, а просто перейти на приватний розділ сайту. Сервер перегляне сесію, побачить, що ім'я користувача адміна, і дасть нам доступ. Тобто під час відновлення пароля ми «поставили» необхідне нам значення і далі пішли борознити приватні частини. Бага тут і в тому, що сайт використовує одне ім'я змінної і під час аутентифікації, і при відновленні пароля.

Спочатку може здатися, що даний тип уразливості – рідкість. Насправді, це не так. Я особисто знаходив такі в досить поширених продуктах. Ось тільки не знав тоді, що так називається.

До речі, крім обходу аутентифікації, використовувати цю техніку можна для підвищення привілеїв чи перескоку кроків на багатокрокових операціях.

Як шукати такого типу баги? Фактично якоїсь суперметодики для цього немає. Але як початок необхідно знайти вхідні точки в додаток, що мають потенційну можливість впливати на значення в сесійних змінних. А далі – мозок, руки та тести, тести, тести.

Якщо зацікавився чи хочеш спробувати на спеціальному вразливому додатку – прошу до авторів початкового ресерчу.

Провести атаку з підробкою Host

Рішення

Ще один приклад майже логічної веб-вразливості. Вона полягає в можливості підробки заголовка Host HTTP-запроса. Точніше, на відсутності перевірки веб-сайтом при його подальшому використанні. Але по порядку.

Коли ти вводиш у браузері якесь ім'я сайту, він підключається до отриманої з імені IP-адреси і в HTTP-запиті обов'язково використовує заголовок "Host:", в якому вказує це ім'я. Часто веб-додатки беруть значення з Host для побудови шляхів ресурсів (скриптів, картинок та іншого). Ймовірно, це дозволяє їм працювати без прив'язки до конкретної назви сайту. Начебто таким чином працює Joomla, Drupal.

Взагалі, з погляду безпеки, це трохи дивна, але безпечна ситуація. Здавалося б, так, підставивши своє доменне ім'я в Host, ми можемо зробити так, щоб на ресурс завантажилися наші JS-скрипти (вважай - XSS). Але змусити чужий браузер зробити те саме (тобто вставити невірний Host), по суті, неможливо. Так що з точки зору SOP тут все начебто цілком нормально.

Але нещодавно я прочитав цікавий приклад експлуатації цієї фічі. Уяви сторінку відновлення пароля. Вводиш ім'я пошти, і на неї відправляється посилання з випадковим струменем зміни пароля (класична ситуація). Так ось, ми також можемо підставити свій Host у запиті, і тоді лист, який прийде користувачеві, міститиме наш домен! І як тільки користувач натисне на це посилання, на наш домен він перейде разом з токеном, який ми можемо швиденько використовувати для зміни пароля.

Звичайно, тут є важлива скрута - потрібно застосувати соціальну інженерію. Користувач, звичайно, не повинен натискати на всі повідомлення про скидання пароля. Крім того, є низка серверних обмежень, оскільки веб-сервери відмовлятимуться обробляти запити для невідомих їм Host.

Але все ж таки в цій атаці щось точно є.


Поламати UPnP

Рішення

Universal Plug and Play (UPnP) - це набір мережевих протоколів, які були створені для спрощення взаємного знаходження різними девайсами, а також їх взаємодії. Девайсом в даному випадку може бути багато що завгодно: роутер, принтер, smartTV, якісь сервіси Windows ... І хоча, можливо, термін UPnP здається тобі незнайомим, фактично він дуже і дуже поширений.

З точки зору прикладу взаємодії можна подивитися у бік Skype або BitTorrent та Wi-Fi-роутерів. Перші за допомогою UPnP можуть знайти роутер та відправити йому набір команд на прокидання якогось зовнішнього порту всередину. Дуже зручно виходить: жодних проблем з ручним настроюванням port forwarding'а.

Але якщо подивитися на це з нашого хакерського погляду, то тут є чим поживитися… UPnP як технологія з'явився ще на початку 2000-х і, можливо, тому має пристойну низку огріхів з точки зору безпеки. Відсутність автентифікації, наприклад. Але давай про все по порядку.

UPnP ґрунтується на кількох протоколах, а також, що важливіше, на певній логічній послідовності:

Виявлення пристроїв.І для цього використовується протокол SSDP (Simple Service Discovery Protocol – UDP, 1900-й порт). Кожен пристрій, що підтримує UPnP і надає якийсь сервіс, систематично відправляє пакет SSDP Notify на 1900 UDP на multicast-адресу 239.255.255.250. Формат даних пакетів – HTTP.

У ньому він повідомляє стандарти, що підтримуються, а також TCP-порт і URL до опису (XML) кожного зі своїх сервісів. Наприклад, http://192.168.0.1:1900/igd.xml описує можливості сервісу InternetGatewayDevice.

Крім прослуховування 239.255.255.250, ми «насильно» можемо надсилати M-SEARCH запити на той самий 1900-й порт. UPnP-сервери повинні будуть відповісти на цей запит. Відповідають тим же Notify-пакетом.

Отже, перше завдання - це, по суті, отримання списку UPnP-серверів, а також URL'ів до XML'ек з повним описом функціональних можливостей кожного з сервісів сервера. Це важливо, так як і порт, і URL можуть бути різними у різних виробників.

Визначення можливостей.Отже, з SSDP ми отримуємо список сервісів із посиланням на їх опис у форматі XML. Для доступу до них використовується звичайний HTTP. Цей файл містить опис кожного з сервісів, а також посилання на XML-файли зі списком можливих дій для кожного з них. Тобто в даному випадку XML'ки - це просто статичні описи всіх можливостей сервісів, а також перелік вхідних точок у сервіси та необхідних даних для виконання дій.

Контроль.Отримавши дані XML'ки, ми можемо створювати SOAP-пакети і посилати їх у сервер по HTTP, виконуючи, в такий спосіб, якісь дії на сервері.

Аутентифікація, як я вже говорив, відсутня, і сервер виконає всі дії, які прийдуть йому в SOAP-запиті.

У 2008 році GNUCitizen навіть виклали спеціальну SWF'ку. Ця SWF'ка (Flash) посилала SOAP-запит на роутер (його IP необхідно вказати), щоб той прокинув довільний зовнішній порт на порт хоста користувача-жертви. І виходить, що, як тільки користувач-жертва відкривав сайт з цієї SWF, флеш «пропилював» дірку в роутері до користувача і ми могли його атакувати. Дуже зручно!

На жаль, даний спосіб більше не працює: з тих пір посилилася пісочниця Flash'а і ми вже не можемо посилати довільні POST-запити (найголовніше, нам треба додати ще заголовок SOAPAction) на будь-який інший хост (бо спочатку відбудеться запит на дозволяючі правила в crossdomain.xml).

Отже, тепер, гадаю, ми бачимо, як це все працює. Давай подивимося, що можна з цим зробити.

По-перше, це прошиті можливості SOAP'у. Окрім прикладу з прокиданням портів, є випадки, коли ми можемо змінити налаштування роутера та виставити свій DNS-сервер. А це вже ого-го! Тут все залежить від конкретного пристрою, сервісів та нашої фантазії.

По-друге, це пристойний інф-дисклоуз: IP-адреси, версія девайсу та UPnP-бібліотек та інше (у SSDP, HTTP-сервері та XML'ках) На додаток до цього багато прошитих можливостей також можуть нам щось розповісти. Паролі, наприклад. Якось під час зовнішнього пентесту виявили доступний SSDP і накопали пучок приватної інформації про нутрощі компанії.

По-третє, ми можемо поламати сервіси. Рік тому Rapid7 зробили прикольне дослідження UPnP. Вони просканили інтернет на SSDP та на SOAP (на стандартних портах), пофінгерпринтили їх. Виявилося, що більшість UPnP-серверів збудовано на чотирьох SDK. З них виділяються MiniUPnP та Portable UPnP (libupnp), на яких «тримається» більше половини. Але що важливіше, майже всі сервери використовують застарілі версії бібліотек, у кожній з яких є пучок вразливостей, у тому числі RCE. Причому і в SOAP'і, і в SSDP.

Крім того, у цьому дослідженні показано, як насправді багато таких пристроїв стирчить назовні, хоча б SSDP. Тобто, навіть якщо той же SOAP закритий, ми можемо захопити віддалений контроль над пристроєм через SSDP.

Звичайно, тут треба відзначити, що з віддаленим сплоїтингом може бути не дуже просто, так як пристрої часто побудовані на всяких MIPS, ARM, що точно все ускладнює. До того ж доведеться боротися ще й з механізмами захисту пам'яті ОС (той самий ASLR). Але це можливо.

Що ж нам треба, щоби все поламати?

Тулз насправді небагато. У метасплоїті є модуль пошуку UPnP (і детекту CVE за ними). Плюс є два "комбайни", що дозволяють виконувати SOAP-команди. Це Miranda та Umap. Обидва написані на Python'і, тільки під *nix і при цьому не дуже добре працюють.

Сподіваюся, прочитане наповнило тебе ентузіазмом і жагою до життя, так що якщо є бажання поресерчити - пиши на ящик. Завжди радий:). І успішних знань нового!

Простий протокол виявлення сервісів(англ. , SSDP ) - чернетка інтернет стандарту (Internet draft) IETF, написаний компаніями Microsoft і Hewlett-Packard. Цей протокол є основою протоколу виявлення Universal plug-and-play.

SSDP описує механізм, згідно з яким мережеві клієнти можуть виявити різні мережеві сервіси. Клієнти використовують SSDP без попередньої конфігурації. SSDP підтримує виявлення за допомогою мультикасту, повідомлення від серверів та маршрутизацію. Ця служба включає виявлення UPnP-пристроїв у домашній мережі. Наприклад, телевізор з підтримкою DLNA/UPNP знаходить медіа-сервери в локальній мережі за допомогою цього протоколу. Домашні маршрутизатори теж, як правило, виявляються комп'ютерами за допомогою SSDP (для відображення інформації про маршрутизатори та медіа-сервери в "Мережевому оточенні" ці пристрої також повинні підтримувати протокол HTTP, тому що SSDP повідомляє пристроїв http-посилання на вузол управління пристроєм) .

SSDP використовує XML UDP пакети як в одноадресній, так і багатоадресній розсилці для оголошень про сервіси. Використовується мультикаст-адреса 239.255.255.250.

В операційній системі Windows для нормального функціонування служби SSDP жодних інших служб не потрібно. Від цього сервісу залежить «Вузол універсальних PnP-устройств» (Universal Plug and Play Device Host).

Див. також

Зовнішні посилання

  • IETF SSDP draft версії 3 (застарілий та прострочений)

Wikimedia Foundation. 2010 .

Дивитись що таке "Simple Service Discovery Protocol" в інших словниках:

    Simple Service Discovery Protocol- (SSDP) is expired IETF Internet draft Microsoft і Hewlett Packard. SSDP є основою відповідного протоколу Universal plug and play.SSDP забезпечує механізм, який мережа клієнтів може використовуватися для discover Network Services. Clients can… … Wikipedia

    Simple Service Discovery Protocol- (SSDP) є un protocole de communication informatique en réseau. Il a été déclaré à l IETF sous forme de brouillon par Microsoft і Hewlett Packard. Ce brouillon a expiré depuis, mais le protocole est toujours utilisé, notamment comme base à UPnP ... Wikipédia en Français

    Simple Service Discovery Protocol- SSDP im TCP/IP-Protokollstapel: Anwendung SSDP Transport UDP Internet IP (IPv4, IPv6) Netzzugang Ethernet Token …

    Simple Network Management Protocol- (SNMP) форми part of the internet protocol suite as defined by the Internet Engineering Task Force (IETF). SNMP використовується в системах управління системами, щоб перейти до керування мережами, що стосуються пристроїв для умов, що warrant administrative attention. It… … Wikipedia

    Service discovery- Protocols є мережні протоколи, які дозволяють автоматично виявляти пристрої та послуги, що знаходяться на цих пристроїв на комп'ютерній мережі. Service discovery is an essential ingredient of the Semantic Web, since the future Web must allow software… … Wikipedia

    Service Location Protocol- Service Location Protocol (SLP, srvloc) є сервісним записом протоколу, який дозволяє комп'ютерам і іншим пристроям до проведення послуг в локальній області мережі без приорного налаштування. SLP has been designed to scale from small, unmanaged… … Wikipedia

    Service Oriented Architecture- Architecture orientée services Pour les articles homonymes, voir SOA. L architecture orientée services (calque de l'anglais Service Oriented Architecture, SOA ou AOS) est une forme d architecture de mediation qui est un modéle d interaction… … Wikipédia en Français

    Service-oriented architecture- (SOA) є методом для систем розвитку і integration, де функціональність є об'єднаною за допомогою business processes і packaged as interoperable services . SOA також describes IT infrastructure which allows different applications to exchange data... ... Wikipedia

    Hypertext Transfer Protocol- HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · … Wikipedia

    Extensible Messaging and Presence Protocol- (XMPP) є відкритим, XML є захищеним протоколом орієнтовно aimed в найближчому реальному часі, extensible instant messaging (IM) і presence information (a.k.a. buddy lists), але зараз expanded in broader realm of message oriented middleware. )