1С Inside. Теория: Дырки в 1C

Судя по его статье, разработчики 1C крайне безответственно относятся к безопасности и оставляют просто гигантские дырки в защите. Столь гигантские, что мало-мальски соображающий хакер пролезет в них без особых проблем.
7,1 тыс. 2,8 тыс.

В настоящее время появилось большое количество коммерческих программных продуктов, оперирующих конфиденциальной информацией, которая не предназначена для всеобщего просмотра и тем более, редактирования.

Таковой информацией, например, являются данные работы бухгалтерии. Но удовлетворяют ли современные программы автоматизации бухгалтерского учета предЪявляемым требованиям конфиденциальности? Исследования показывают, что, по крайней мере, не все.

Скажем популярная система 1С: Предприятие 1С версии 7.7 для SQL не только с легкостью предоставляет доступ к работе всем желающим, но и с ее помощью даже можно получить права администратора БД на SQL сервере, на котором располагается база 1С. Как? Об этом позже. А для начала давайте рассмотрим предпосылки, которые приведут нас к таким выводам.

  1. Вся информация о пользователях 1С хранится в локальных файлах на компьютерах пользователей (а не на сервере, как должно быть в нормальных клиент - серверных системах). Конкретнее, эта информация хранится в файле :userdefusers.user
  2. Информация о связи SQL-Сервером (ConnectionString) также хранится локально - в файле 1cv7.dba. Причем, там хранится ConnectionString не абы-какого пользователя, а администратора и owner-а (владельца) БД!
  3. ConnectionString шифруется на основании информации из файла users.usr, а именно с помощью зашифрованного пароля первого заведенного в 1С пользователя. От имени этого пользователя зашифрованная информация из ConnectionString никак не зависит, т.к. зашифрованные пароли пользователей 1С не зависят от имени этих самых пользователей. Алгоритм шифрования паролей стандартный - MD5.

Допустим, что у нас есть 2 цели - 1) вход в систему 1С под любым именем без пароля и 2) получение прав администратора к SQL-серверу, на котором располагается база 1С. Из выше перечисленных пунктов можно предложить следующую стратегию для решения поставленных задач (конечно, потребуются некоторые знания ассемблера и пользования отладчиками, но стоимость интересующей нас информации это окупает!).

  1. Запускаем 1С из-под отладчика (я, например, пользовался MS VC++6.0 :). Вводим произвольное имя пользователя, любой пароль, получаем сообщение об отказе в доступе. Прерываем выполнение. "Разматываем" стек до адресов основного модуля и выше по тексту ищем место в программе, с которого, после сравнения введенного пароля, закодированного с помощью MD5, с имеющимся паролем в файле users.usr, идет переход на вывод сообщения. Такое место есть :)! Теперь меняем команду условного перехода jxx : на jmp - готово! Теперь мы можем зайти под любым зарегистрированным именем пользователя (выбираем первое попавшееся на глаза имя пользователя из файла users.usr - благо они не шифруются :) и под любым паролем!
  2. Совсем просто - отлавливаем вызов соответствующей API-ой функции установления связи с SQL-сервером и смотрим передаваемые ей параметры :).

Автор: Vik

Комментарии

8
  • Хранитель_врат
    Автор претендую на описания дырок защиты 1С на самом деле мало чего знает. На несанкционированный вход в 1С нет необходимости использовать отладчик. Все делается гораздо проще, просто знать надо 1С.
  • Хранитель_врат
    Согласен с мнениями предыдущих анонимусов - в нете уже давно валяется программы с исходниками для расщелкивания 1cv7.dba, причем на разных языках (мне попадались на С, 1С).

Объявления об онлайн-продаже табака могут заблокировать без решения суда

Чтобы заблокировать интернет-ресурс с информацией о дистанционной продаже табачной продукции, понадобится больше 3-х месяцев. Власти хотят ввести механизм внесудебной блокировки — такой же, какой сейчас действует в отношении алкоголя.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Почему не существует шутки, которая нравится всем? Проведем эксперимент

Маяковский считал, что театр — это не отображающее зеркало, а увеличительное стекло. Если продолжить эту мысль поэта, то юмор —это не отображающее зеркало и даже не увеличительное стекло.

Почему не существует шутки, которая нравится всем? Проведем эксперимент

Как обезопасить массовые выплаты внештатникам

Компании, которые сотрудничают с большим числом внештатников, проводят массовые выплаты со своего счета. Такие платежи могут нести риски с точки зрения ИФНС и банков. Рассказываем, в чем причины и как обезопасить переводы.

Как обезопасить массовые выплаты внештатникам
Лучшие спикеры, новый каждый день
НДС

Уточнят нормы НК об НДС 0% при экспорте

Торгово-промышленная палата России (ТПП) предложила исключить двойное толкование норм о международной перевозке с точки зрения налогового законодательства.

За уклонение от исправительных работ будут чаще сажать под стражу

Минюст разработал законопроекты, регулирующие вопрос заключения под стражу осужденных, которые уклоняются от принудительных работ.

Дивиденды апреля. Ну вот, опять богатеть

Обновил дивидендный календарь, оставил дивиденды, которые утверждены на апрель, а также известные дивиденды на май, а то в апреле дивидендов совсем уж мало. Возможно, ещё появятся, ведь начинается главный дивидендный сезон, когда компании начинают выплачивать финальные годовые дивиденды, у многих из которых нет промежуточных.

Дивиденды апреля. Ну вот, опять богатеть
Опытом делятся эксперты-практики, без воды

«Утренний бухгалтер» № 5608. Будут изменения по имущественным налогам

Законопроект уже внесен в думу.

УСН

⚡ Срочное разъяснение ФНС: как заполнить уведомление о переходе на УСН

В форме 26.2-1 ювелиры должны ставить код налогоплательщика — 4 но можно и 3.

Быть бухгалтером хочу, пусть меня научат... или нет. Можно ли стать бухгалтером самому с нуля и что для этого надо знать

Меня на этот пост вдохновил вопрос пользователя в телеграм-канале. Она попросила помощи в заполнении упрощенной отчетности и уточнила — справится ли она сама, если она не бухгалтер? И, правда, а можно ли вести учет и при этом не иметь образования бухгалтера и всему научиться самому.

Иллюстрация: Вера Ревина/Клерк.ру
308
Мошенничество

Сотрудник банка отдохнул за границей и обогатился за счет клиентки на 29 млн рублей

Сотрудники управления экономической безопасности и противодействия коррупции МВД по Ростовской области выявили факт многомиллионного мошенничества в особо крупном размере сотрудником банковской организации.

385
ВЭД

Три главных изменения 2024 года для бухгалтера ВЭД

Продавцы из ЕАЭС начнут платить налоги в российскую казну, бизнес освободят от отчетности по мелким сделкам с зарубежными партнерами, а цифровые активы становятся обычным способом расчета.

Иллюстрация: Вера Ревина/Клерк.ру
1
362

Обязательную маркировку ювелирных изделий перенесут на 2025 год

Чтобы снизить нагрузку с Пробирной палаты, которая будет ставить клеймо на украшения, Минфин перенесет срок обязательной маркировки на 1 сентября 2025 года.

140
Миникурсы, текстовые и видеоинструкции для бухгалтеров

С 1 мая запустят эксперимент по маркировке моторных масел

Для борьбы с контрафактом на рынке Минпромторгу предложили включить в эксперимент по маркировке не только моторные масла для автомобилей, но и свечи зажигания, детали подвески и рулевого управления.

3
197

Календарь вебинаров для бухгалтера в апреле 2024. Акцент на проверки

Вебинар — простой способ разобраться в любом важном для бухгалтера вопросе. «Клерк» приглашает на вебинары экспертов-практиков, которые понятно и с примерами разберут любую тему. Вы можете задавать спикеру вопросы и он ответит на них в прямом эфире.

Иллюстрация: freepik/freepik
Экспорт

Минпромторг сократит список экспортеров, которые могут получать транспортные субсидии

Изменения затронут только тех, кто занимается экспортом товаров из высокомаржинальных групп.

С 01 апреля 2024 года порог беспошлинного ввоза товаров, возможно, вернется к уровню €200 евро

Но подготовка новых документов не началась.

207
УК РФ

Опасное производство 2 года работало без лицензии и получило доход 26 млн рублей

В Ставропольском крае перед судом предстанет обвиняемый в незаконном предпринимательстве с извлечением дохода на сумму более 26 млн рублей.

Обеспечительные меры при ВНП, предварительные обеспечительные меры + защитный лайфхак

Всегда ли налоговики могут наложить обеспечительные меры (арест) на имущество по результатам проверки?

Иллюстрация: Вера Ревина / Клерк.ру
7
144

Кто имеет право работать неполный день

Если у сотрудников есть основания для неполной занятости, работодатель должен установить удобный для работника график и снизить нагрузку.

Интересные материалы

Календарь вебинаров для бухгалтера в апреле 2024. Платные и бесплатные

Собрали для вас анонсы вебинаров на апрель 2024 года.