Zasoby jawne systemu Windows - NetBIOS

W systemach z rodziny Windows są dwa rodzaje zasobów, do których można uzyskać dostęp: jawne oraz ukryte. Zasoby jawne to, najprościej definiując, wszystkie zasoby świadomie udostępnione przez administratora zewnętrznym użytkownikom systemu: dyski, foldery, pliki, drukarki itd. W jakim celu się je tworzy?

W systemach z rodziny Windows są dwa rodzaje zasobów, do których można uzyskać dostęp: jawne oraz ukryte. Zasoby jawne to, najprościej definiując, wszystkie zasoby świadomie udostępnione przez administratora zewnętrznym użytkownikom systemu: dyski, foldery, pliki, drukarki itd. W jakim celu się je tworzy?

W lokalnej sieci komputerowej są udogodnieniem dla jej użytkowników. Takim zasobem jest np. drukarka. Wielu użytkowników lokalnej sieci komputerowej może korzystać z jednej drukarki, co pozwala zracjonalizować koszty. Podobnie wygląda udostępnianie folderów (również dysków). W udostępnionym folderze mogą się znajdować baza danych lub zbiór dokumentów, potrzebne wszystkim użytkownikom lokalnej sieci. Uaktualnienie bazy danych w udostępnionym folderze ma skutki dla wszystkich jej użytkowników. Niestety, bardzo często administrator systemu posuwa się za daleko w udogodnieniach i zezwala na dostęp do zasobów bez hasła. Co może być konsekwencją? Na przykład "nieplanowany" użytkownik sieci również skorzysta z udostępnionych zasobów. Wyobraźmy sobie, że przypadkowy internauta zostaje posiadaczem faktur z 2003 roku pewnej krakowskiej firmy lub listy płac lekarzy szpitala w Tomaszowie Lubelskim. Czy jest to możliwe? Oczywiście!

Zobacz również:

Zdarzyło się...

Rys. 1. Użycie przykładowego programu do poszukiwania udostępnionych zasób w określonym zakresie adresów IP.Kliknij, aby powiększyćRys. 1. Użycie przykładowego programu do poszukiwania udostępnionych zasób w określonym zakresie adresów IP.Wyobraźmy sobie pewną firmę.

W tej firmie jest lokalna sieć komputerowa. W jednym z komputerów tej sieci jest udostępniony dysk, powiedzmy, Dane. Administrator dla wygody użytkowników sieci lokalnej postanowił udostępnić go wszystkim bez autoryzacji uprawnień.

Takie rozwiązanie jest w pełni rozsądne, jeżeli mamy pewność, że z udostępnionego zasobu będą korzystać tylko użytkownicy sieci lokalnej (wewnątrz firmy). Komputer udostępniający dysk Dane jest również podłączony bezpośrednio do Internetu. Administrator systemu, udostępniając go wszystkim, zapewne miał na uwadze tylko użytkowników sieci lokalnej. Niestety, dysk jest również udostępniony osobom postronnym. Użytkownik Internetu może skopiować sobie z udostępnionego dysku każdy plik, który wzbudził jego zainteresowanie.

Rys. 2. Weryfikacja stanu opcji Udostępnianie plików i drukarek dla połączeń lokalnych.Kliknij, aby powiększyćRys. 2. Weryfikacja stanu opcji Udostępnianie plików i drukarek dla połączeń lokalnych.Już wyobrażam sobie tłum ciekawskich chcących wiedzieć, jak takie zasoby odnaleźć. Załóżmy, że firma korzysta ze stałego dostępu do Internetu. Adres IP jest przydzielany w sposób dynamiczny przy każdym połączeniu. Jednak wiemy, że ta firma mieści się w Krakowie, więc "stóg siana" (adresów IP) jest ograniczony. W praktyce to kwestia przeszukania kilku zakresów adresów IP. W Internecie można znaleźć mnóstwo programów, które odnajdują udostępnione zasoby na różnych komputerach (sieci lokalnej oraz Internetu).

Przedstawiona wizja nie jest bynajmniej futurystyczna.

Jak widać na rysunku 1, zasobów w Internecie jest znacznie więcej, niż można przypuszczać, od dokumentów zwykłych użytkowników Internetu do zdecydowanie poufnych informacji firm bądź instytucji. Można z nich skorzystać.

Wykorzystywanie udostępnionych plików i drukarek

Rys. 3. Weryfikacja stanu opcji Udostępnianie plików i drukarek dla połączeń zdalnych.Kliknij, aby powiększyćRys. 3. Weryfikacja stanu opcji Udostępnianie plików i drukarek dla połączeń zdalnych.Pewne szczegóły zostaną pominięte, ponieważ mogłyby bardzo skomplikować wywód. Zacznijmy jeszcze raz. W systemie Windows jest opcja Udostępnianie plików i drukarek. Można jej używać w celu "udostępnienia" dysków i drukarek, to znaczy dać dostęp do plików i drukarek innym - użytkownikom sieci, określonym adresom IP lub nawet wszystkim internautom. Jeżeli ktoś udostępni pewne zasoby, system otwiera port (port 139), służący do komunikacji za pomocą protokołu NetBIOS. Protokół ten jest zestawem poleceń używanych w celu uzyskania dostępu do zdalnych udostępnionych zasobów.

W sieciach lokalnych udostępnianie plików i drukarek bardzo skutecznie ułatwia komunikację między użytkownikami. Jeżeli jest zainicjowane na komputerze (również domowym) podłączonym do Internetu, należy się liczyć z atakiem. Potencjalny włamywacz, który zna adres IP tego komputera, może dotrzeć do udostępnionych zasobów. Bardzo często użytkownik nie zdaje sobie sprawy z tego, że ma zainicjowane udostępnianie plików i drukarek (rys. 2).

Chcąc sprawdzić, czy udostępnianie jest aktywne w komputerze, należy otworzyć Panel sterowania. W systemie Windows XP należy otworzyć okno Połączenia sieciowe (rys. 3).

Korzystanie z zasobów

Rys. 4. Wykonanie polecenia nbtstat -A 83.28.6.194.Kliknij, aby powiększyćRys. 4. Wykonanie polecenia nbtstat -A 83.28.6.194.Do udostępnionych zasobów można dotrzeć na dwa sposoby. Twórcy systemu Windows zaopatrzyli go w komplet narzędzi, którymi wykonamy większość operacji. Nie ma w tym nic dziwnego. Udostępnianie zasobów oraz narzędzia do korzystania z nich należą do standardowego wyposażenia. Każdy ze sposobów daje ten sam efekt. Pierwszy sposób wykorzystuje wiersz poleceń, drugi zaś graficzny interfejs (GUI).

Będą nam potrzebne programy nbtstat.exe oraz net.exe, znajdujące się w tym samym katalogu, w którym zainstalowany jest system. Uruchamiamy je z wiersza poleceń. Pełna instrukcja obsługi jest dostępna po wykonaniu polecenia z parametrem /?, np. nbtstat /? lub net /? Chcąc skorzystać z tych narzędzi oraz innych, należy pamiętać o włączeniu w systemie obsługi protokołu NetBIOS (domyślnie ten protokół jest włączony).

Kliknij, aby powiększyćPotrzebne jest IP lub nazwa komputera, którego udostępnione zasoby chcemy sprawdzić. Posłużmy się przykładem:

Załóżmy, że znamy adres IP 83.28. 6.194 oraz nazwę komputera mojkomputer.pl.

Przede wszystkim sprawdzimy, czy na zdalnym hoście jest aktywne udostępnianie plików i drukarek. Jak to zrobić? Bardzo prosto. Możemy wykorzystać adres IP lub nazwę komputera (hostname). Jeżeli chcemy sprawdzić aktywność udostępniania plików i drukarek, podając hostname, należy użyć parametru -a. W wierszu poleceń wpisujemy: nbtstat -a [nazwakomputera]

Rys. 5. Wykonanie polecenia net view \\83.28.6.194.Kliknij, aby powiększyćRys. 5. Wykonanie polecenia net view \\83.28.6.194.Chcąc wykorzystać adres IP, użyjemy parametru -A: nbtstat -A [adres IP]

Wykonując polecenie nbtstat -A 83. 28.6.194, otrzymamy informacje o zdalnym komputerze w postaci tabeli:

Cały sens informacji jest zawarty w nawiasach. Co one oznaczają?

00 - usługa stacja robocza

20 - udostępnianie plików i drukarek (to nas interesuje najbardziej)

1E - wybór usługi przeglądarki

03 - usługa posłaniec; obok widoczna nazwa aktualnie zalogowanego użytkownika.

Więcej szczegółów na temat sufiksów nazw NetBIOS znajdziemy pod adresem http://support.microsoft.com/default.aspx?scid=kb;pl;163409