.
BITS задействует свободные ресурсы канала связи, чтобы оптимизировать производительность сети, поэтому ее активность малозаметна для пользователя.
Одна из трудностей при защите от злоупотреблений заключается в том, что BITS используется Windows Update, Microsoft Systems Management Server (SMS), Microsoft Messenger и другими инструментами, поэтому брандмауэры обычно доверяют службе при передаче данных в сеть и из сети. Другая особенность, из-за которой трудно препятствовать злоупотреблениям BITS, заключается в том, что когда опасное приложение загружает файлы с помощью службы, трафик представляется исходящим от BITS, а не от приложения.
Тестеры утечек брандмауэра давно знают о потенциальной угрозе BITS и уже более года открыто обсуждают проблему. Существует, по крайней мере, одна программа, bits_tester.exe (первый URL из приведенных ниже), которая взаимодействует с инструментом bitsadmin.exe компании Microsoft (из комплекта Windows XP SP2 Support Tools по второму URL) и демонстрирует, как легко загружать файлы с Web-серверов с помощью BITS.
http://list.windowsitpro.com/t?ctl=573FA:BD2EE6FFF19726A3D4D5506DC12F1434
http://list.windowsitpro.com/t?ctl=573E4:BD2EE6FFF19726A3D4D5506DC12F1434
По данным Гийома Кадуша, автора Web-узла Firewall Leak Tester, единственный на сегодня способ управлять действиями BITS -- ограничить возможность svchost.exe (в XP и более поздних версиях Windows) или services.exe (Windows 2000) устанавливать связь через сеть. Например, чтобы быть уверенным, что BITS будет использоваться только для пересылок файлов внутри сети или между сетью компании и сайтами обновления Microsoft, необходимо применить политику полного отказа для svchost.exe и services.exe и сделать явные исключения для узлов, из которых можно получать данные через BITS. Следует учитывать, что поскольку BITS API доступен для программистов, возможно, придется сделать исключения для других законных приложений, которые загружают обновления или другие данные через BITS.
Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер, хотя для этого требуется, чтобы на внешнем компьютере был установлен Microsoft IIS-сервер с расширениями BITS. В этом случае также может быть полезной политика полного отказа от использования службы.
Элиа Флориа вновь привлек внимание к проблеме BITS в мае. В Web-дневнике Symantec Security Response (см. приведенный ниже URL) он высказал предположение, что компания Microsoft может повысить безопасность BITS.
"Нелегко проконтролировать, какие данные должны и не должны пересылаться службой BITS, -- пишет он. -- Вероятно, интерфейс BITS следует сделать доступным только для пользователей с высоким уровнем привилегий, или ... BITS следует ограничить загрузкой данных из доверенных URL-адресов". Подробнее см. по адресу:
http://list.windowsitpro.com/t?ctl=573E5:BD2EE6FFF19726A3D4D5506DC12F1434
Представители Microsoft мало что сообщают о злоупотреблениях BITS или планах компании дополнить службу мерами безопасности. Но пока длится ожидание, необходимо защитить компьютеры на случай, если другие решения безопасности не смогут обнаружить вредителей, использующих BITS. Я составил список URL-адресов сайтов, с которых BITS может загружать файлы и обновления из Microsoft.
Вероятно, приведенный список не полон, но он может послужить отправной точкой, чтобы приступить к подготовке правил брандмауэра. Приведенные ниже адреса серверов следует дополнить префиксом HTTP или HTTPS, в зависимости от требований правил брандмауэра. Я обнаружил два адреса, для которых необходим доступ HTTPS; для остальных нужен обычный доступ HTTP.
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.windowsupdate.microsoft.com (требуется HTTPS)
*.windowsupdate.com update.microsoft.com
*.update.microsoft.com
*.update.microsoft.com (требуется HTTPS)
* download.windowsupdate.com
*.download.windowsupdate.com
*download.microsoft.com
*wustat.windows.com
*ntservicepack.microsoft.com
Если допускается механизмом правил, то можно упростить порядок, разрешив службе BITS доступ к *.windowsupdate.com, *.microsoft.com и *.windows.com через протоколы HTTP и HTTPS.