در بخش سوم اين مقاله به بررسي نقاط آسيب پذير سرويس هاي Clear Text و Sendmail ، خواهيم پرداخت .
پنجمين نقطه آسيب پذير : :Clear Text Services
تعداد زيادي از سرويس هاي شبکه استفاده شده توسط سيستم هاي مبتني بر يونيکس ، بصورت plain text بوده و از رمزنگاري خاصي استفاده نمي نمايند. ضعف در رمزنگاري ، امکان شنود اطلاعاتي ( مشاهده ترافيک شبکه ) را فراهم و مهاجمان در ادامه امکان دستيابي به محتويات ارتباط ايجاد شده و يا اطلاعات حساس کاربران نظير داده هاي مرتبط با رمز عبور را بدست خواهند آورد. مثلا" بمنظور تشخيص اطلاعات مرتبط با FTP و يا telnet ( اطلاعات login ) ، يک مهاجم ، مي تواند يک sniffer را در شبکه و در محلي بين مسير ارتباطي، مستقر نمايد (بعنوان سرويس دهنده FTP و يا يا Client LAN ) . تبادل اطلاعات بين دستورات ورودي توسط سرويس گيرندگان و پاسخ هاي ارائه شده توسط سرويس هاي موجود بر روي سرويس دهنده ، بصورت plain-text خواهد بود. بدين ترتيب ،امکان رديابي ( رهگيري ) داده و يا کليدهاي فشرده شده توسط کاربر بسادگي فراهم مي گردد. اغلب مهاجمان در حملات اخير خود از برنامه هاي مختص شنود اطلاعاتي استفاده و عمدتا" اينگونه برنامه ها را بر روي دستگاهها ي آسييب پذير نصب مي نمايند. در چنين مواردي ، تشخيص نام و رمز عبور کاربر در داده هاي جمع آوري شده ( شنود اطلاعاتي ) ، بسادگي ميسر خواهد شد.جدول زير، ليست برخي از سرويس هاي شبکه يونيکس را که اطلاعات را بصورت Clear Text ، مبادله مي نمايند ، نشان مي دهد :
آيتم ارسالي | Clear Auth | Clear Content | پورت | سرويس |
متن ، باينري | Yes | Yes | 21 , 20 | FTP |
متن ،باينري | N/A | Yes | 69 | TFTP |
متن | Yes | Yes | 23 | telnet |
متن ،باينري | N/A | Yes | 25 | SMTP |
متن ،باينري | Yes | Yes | 110 | POP3 |
متن ،باينري | Yes | Yes | 143 | IMAP |
متن | Yes | Yes | 513 | rlogin |
متن | Yes | Yes | 514 | rsh |
متن ،باينري | Yes | Yes | 80 | HTTP |
سرويس هائي نظير Telnet و FTP که شامل اطلاعات مربوط به تائيد هويت کاربران مي باشند ، اطلاعات مورد نظر را بصورت متن ارسال که بالاترين ريسک را بدنبال خواهد داشت . در چنين مواردي مهاجمان مي توانند با استفاده مجدد از داده هاي حساس کاربران نظير نام و رمز عبور، با خيال راحت ! به سيستم دستيابي نمايند .علاوه براين ، اجراي دستورات بصورت clear text مي تواند توسط مهاجمان استفاده تا با استفاده از آنان دستورات دلخواه خود را بدون الزامي براي تائيد ، اجراء نمايند. سرويس هاي Clear text ، مي توانند زمينه تهديدات مختلفي نظير : تسهيل در انجام حملات ، دستيابي از راه دور ، اجراي دستورات بر روي يک سيستم مقصد ، شنود و تشخيص اطلاعات را بدنبال داشته باشد .
سيستم هاي عامل در معرض تهديد
تمامي نمونه هاي يونيکس ارائه شده ، از سرويس ها ي Clear text استفاده مي نمايند. ( telnet و FTP دو نمونه متدواول در اين زمينه مي باشند ) . تمامي نمونه نسخه هاي ارائه شده يونيکس و لينوکس ( تنها استنثاء در اين رابطه، مربوط به آخرين ويرايش Free/OpenBSD مي باشد ) ، بصورت پيش فرض ، برخي از سرويس هاي فوق را نصب مي نمايند .
نحوه تشخيص آسيب پذيري سيستم
موثرترين و مطمئن ترين روش بمنظور تشخيص نقطه آسيب پذير فوق (سرويس هاي clear text ) ، بکارگيري نرم افزاري مشابه با ابزارهاي استفاده شده (sniffer) توسط مهاجمان است. متداولترين برنامه موجود در اين زمينه ، tcpdump مي باشد. براي دريافت برنامه "tcpdump " مي توان از آدرس http://www.tcpdump.org ، استفاده نمود . نحوه فعال نمودن برنامه فوق،بمنظور تشخيص هر گونه ارتباط clear text ، بصورت زير است :
tcpdump -X -s 1600 #
دراين راستا مي توان از برنامه هاي ديگر نظير : "ngrep" نيز استفاده نمود. برنامه فوق،امکان جستجوي الگوئي خاص نظير "sername " و يا " assword " را در شبکه فراهم مي نمايد. ( اولين حروف، بمنظور سازگاري با حروف بزرگ احتمالي ، در نظر گرفته نشده است ) . براي دريافت برنامه فوق ، مي توان از آدرس http://www.packetfactory.net/projects/ngrep استفاده نمود . نحوه فعال نمودن برنامه فوق ، بصورت زير است :
ngrep assword#
در اين رابطه مي توان از ابزارهاي متنوع ديگري بمنظور تشخيص داده هاي حساس کاربران ( نام و رمز عبور ) استفاده نمود . Dsniff ، متداولترين ابزار در اين زمينه است . برنامه فوق ، بررسي لازم در خصوص تمامي زوج نام و رمزعبور بر روي پروتکل هاي Plain text حجيم، نظير FTP ، Telnet و POP3 را انجام و پس از تشخيص، آنان را نمايش خواهد داد. براي بدست آوردن برنامه فوق مي توان از آدرس http://www.monkey.org/~dugsong/dsniff استفاده نمود . نحوه فعال نمودن برنامه فوق ، بصورت زير است :
/usr/sbin/dsniff#
نحوه> حفاظت در مقابل نقطه آسيب پذير
استفاده از رمزنگاري End-To-End و يا حداقل رمزنگاري Link-level مي تواند در اين زمينه مفيد واقع گردد. برخي پروتکل ها از لحاظ رمزنگاري معادل يکديگر مي باشند( نظير : POP3S و HTTPS ) . براي پروتکل هائي که داراي قابليت ها و امکانات , ذاتي رمزنگاري نمي باشند ، مي توان آنان را از طريق SSH : Secure Shell ، و يا SSL connection انجام داد( tunneling ) .
OpenSSH يک نمونه پياده سازي شده متداول و انعطاف پذير ازSSH است.( قابل دسترس در آدرس http://www.openssh.org ) . برنامه فوق، در اکثر نسخه هاي يونيکس اجراء و مي توان از آن بمنظور ارتباطات از راه دور ( replaces telnet ,rlogin ,rsh ) و tunneling ( پروتکل هائي نظير POP3,SMTP و X11 ) استفاده گردد .
دستور زير نحوه tunnel نمودن POP3 را بر روي SSH connection نشان مي دهد. بر روي سرويس دهنده POP3 ، مي بايست سرويس دهنده SSH نيز اجراء گردد. در ابتدا آن را بر روي ماشين سرويس گيرنده اجراء مي نمائيم :
ssh -L 110:pop3.mail.server.com:110 username@pop3.mail.server.com#
در ادامه ، برنامه سرويس گيرنده پست الکترونيکي را به localhost اشاره مي دهيم ، پورت TCP 110 ( برخلاف روال معمول که بصورت : pop3.mail.server.com ، پورت 110 است ) . بدين ترتيب ، تمامي ارتباطات بين ماشين و سرويس دهنده پست الکترونيکي بصورت رمز شده انجام خواهد شد ( tunneled over SSH ) .
يکي ديگر از راه حل هاي متداول رمزنگاري مبتني بر tunneling ، استفاده از stunnel است . روش فوق ، پروتکل SSL را پياده سازي( با استفاده از OpenSSL Toolkit ) و مي توان آن را بمنظور tunel نمودن پروتکل هاي متفاوت plain text بخدمت گرفت . براي دريافت برنامه فوق ، مي توان از آدرس http://www.stunnel.org استفاده نمود.
ششمين نقطه آسيب پذير : : Sendmail
Sendmail ، برنامه اي است که از آن بمنظور ارسال ، دريافت و فوروارد نمودن نامه هاي الکترونيکي در اغلب سيستم هاي يونيکس و لينوکس استفاده مي گردد. Sendmail ، يکي از متداولترين MTA : Mail Transfer Agent در اينترنت بوده که بطور گسترده اي از آن بعنوان "آژانش توزيع نامه هاي الکترونيکي" بهمراه سرويس دهندگان پست الکترونيکي ، استفاده مي گردد . Sendmail ، يکي از اهداف اوليه مهاجمان در ساليان اخير بوده و تاکنون حملات متعددي را در ارتباط با آن شاهد بوده ايم. اکثر حملات انجام شده بدليل قديمي بودن و يا عدم patch مناسب نسخه هاي نصب شده ، با موفقيت همراه بوده است .در اين رابطه مي توان به چندين نمونه از حملات اخير اشاره نمود :
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail
CERT Advisory CA-2003-07 Remote Buffer Overflow in Sendmail
CERT Advisory CA-2003-25 Buffer Overflow in Sendmail
خطرات و تهديدات مرتبط با Sendmail را مي توان به دو گروه عمده تقسيم نمود : از دست رفتن امتيازات که علت آن buffer overflow خواهد بود و پيکربندي نادرست سيستم که مي تواند تبعات منفي را بدنبال داشته باشد ( مثلا" تبديل يک سيستم به مرکزي آلوده براي توزيع نامه هاي الکترونيکي ) .عامل اصلي در بروز تهديدات نوع اول ، عمدتا" به استفاده از نسخه هاي قديمي و يا عدم patching مناسب سيستم برمي گردد.علت اصلي تهديدات نوع دوم ، به استفاده از فايل هاي پيکربندي پيش فرض و نادرست برمي گردد .
سيستم هاي عامل در معرض تهديد
تقريبا" تمامي نسخه هاي لينوکس و يونيکس بهمراه يک نسخه نصب شده از Sendmail عرضه مي گردند. سرويس فوق، بصورت پيش فرض فعال مي باشد .
نحوه تشخيص آسيب پذيري سيستم
Sendmail ، در گذشته داراي نقاط آسيب پذير فراواني بوده که بتدريج وبا ارائه نسخه هاي جديدتر و patch هاي مربوطه ، ميزان آسيب پذيري آن کاهش يافته است .هر نسخه قديمي و يا Patch نشده نرم فزار فوق در معرض آسيب قرار خواهد داشت . بمنطور مشخص نمودن شماره نسخه برنامه sendmail ، مي توان از دستور زير استفاده نمود :
echo \$Z | /usr/lib/sendmail -bt -d0
مسير مشخص شده sendmail در دستور فوق ، با توجه به پيکربندي سيستم ، مي تواند متفاوت باشد. براي آگاهي از آخرين نسخه ارائه شده Sendmail مي توان از آدرس http://www.sendmail.org/current-release.html استفاده نمود .
نحوه حفاظت در مقابل نقطه آسيب پذير
مراحل زير بمنظور ايمن سازي و حفاظت Sendmail پيشنهاد مي گردد :
• نسخه موجود را به آخرين نسخه ارتقاء و از آخرين patch هاي موجود ، استفاده گردد . براي دريافت source code مي توان از آدرس http://www.sendmail.org استفاده نمود. در صورتيکه نسخه sendmail بهمراه سيستم عامل ارائه شده است ( يک Package ) ، مي توان براي دريافت patch مربوطه به سايت عرضه کنندگان سيستم عامل مراجعه نمود.
• برنامه sendmail عموما" بصورت پيش فرض در اکثر سيستم هاي يونيکس و لينوکس ( حتي آناني که بعنوان سرويس دهنده mail مورد نظر نبوده و فعاليت آنان در ارتباط با mail نخواهد بود) نصب مي گردد. برنامه Sendmail را در حالت daemon بر روي ماشين هاي فوق ، اجراء ننمائيد ( غير فعال نمودن سوئيچ bd - ) . امکان ارسال نامه الکترونيکي توسط سيستم هاي فوق ، همچنان وجود خواهد داشت . در اين رابطه مي بايست پيکربندي سيستم بگونه اي انجام شود که به يک mail relay در فايل پيکربندي sendmail ، اشاره گردد.فايل پيکربندي، sendmail.cf نام داشته و معمولا" در آدرس etc/mail/sendmail.cf قرار دارد .
• در صورتيکه لازم است sendmail در حالت daemon اجراء گردد، مي بايست از صحت پيکربندي انجام شده اطمينان حاصل گردد. در اين رابطه مي توان از منابع اطلاعاتي زير استفاده نمود :
http://www.sendmail.org/tips/relaying.html
http://www.sendmail.org/m4/anti_spam.html
در نسخه Sendmail 8.9.0 ، امکان open relay بصورت پيش فرض غيرفعال مي باشد.تعداد زيادي از عرضه کنندگان سيستم هاي عامل ، مجددا" آن رادر پيکربندي پيش فرض خود فعال مي نمايند. در صورت استفاده از نسخه Sendmail ارائه شده بهمراه سيستم عامل ، مي بايست دقت لازم در اينخصوص را انجام داد ( عدم استفاده سرويس دهنده براي realying ).
• در زمان استفاده از نسخه جديد sendmail ( سوئيچ نمودن به يک نسخه ديگر ) ، لازم است تدابير لازم در خصوص تغيير فايل هاي پيکربندي ارائه شده توسط نسخه قديمي ، انديشيده گردد . براي آگاهي از جزئيات بيشتر در ارتباط با پيکربندي Sendmail ، مي توان از آدرس http://www.sendmail.org/m4/readme.html استفاده نمود.
• در موارديکه برنامه Sendmail از منابع موجود بر روي اينترنت Download مي گردد ، مي بايست بمنظور اطمينان از مجاز بودن نسخه تکثيري از PGP signature استفاده نمود. در اين رابطه لازم است به اين نکته دقت شود که بدون بررسي integrity مربوطه به source code برنامه Sendmail ، نمي بايست از آن استفاده شود. در گذشته ، نسخه هائي از Trojan ها در Sendmail مستقر تا در زمان مناسب حرکت مخرب خود را آغاز نمايند . بمنظور دريافت اطلاعات تکميلي در اين رابطه مي توان از آدرس CERT Advisory CA-2002-28 استفاده نمود. کليدهاي استفاده شده بمنظور sign نمودن برنامه Sendmail دريافتي را مي توان از آدرس http://www.sendmail.org/ftp/PGPKEYS بدست آورد . در صورت فقدان PGP ، مي بايست از MD5 Checksum بمنظور بررسي integrity کد منبع Sendmail ، استفاده گردد.
براي کسب اطلاعات بيشتر مي توان از منابع اطلاعاتي زير استفاده نمود :
http://www.sendmail.org/secure-install.html
http://www.sendmail.org/m4/security_notes.html
http://www.sendmail.org/~gshapiro/security.pdf
در بخش چهارم اين مقاله به بررسي ساير نقاط آسيب پذير يونيکس و لينوکس خواهيم پرداخت .