Необработени сокети и мрежова сигурност
Споделете в социалните мрежи:
Вечерта на 4 май мрежата на Gibson Research Corporation (GRC) беше атакувана. Нападателят не се е опитал да копира класифицирана информация или да използва ресурсите на компанията за собствени нужди. Хакерът преследва изключително разрушителни цели: да деактивира мрежата, като я залее с UDP пакети. Атаката за деактивиране на услуги не е необичайна в наше време, но това доста тривиално събитие все пак предизвика бурна дискусия в пресата и интернет форумите.
Как започна
Целта на поредната атака хакери избраха компания, чийто президент е Стив Гибсън, известен експерт в областта на компютърната сигурност, който е напълно способен да анализира ситуацията и да разкрие механизма на атаката.
Пакетите, които нападателят наводнява каналите, свързващи GRC с ISP (две линии T1), идват от различни възли, принадлежащи към различни мрежи - типична DDoS атака. Анализирайки входящите пакети, Гибсън идентифицира 474 атакуващи компютъра. С основание предположи, че на тези машини е въведена зомби програма, той изпраща имейл съобщения до мрежовите администратори с молба да проверят машините си за троянски коне. Скоро файлът rundlI.exe (последната буква е главна латиница „I“) беше в ръцете на Гибсън, който служи като посредник между нападателя и неговата жертва.
Зомби подслон
Всички машини, участващи в атаката на GRC, работеха под Windows. Това е очаквано. В края на краищата основното условие е наличието на програма "зомби", която по някакъв начин трябва да се качи на машината и да бъде стартирана в системата. Както знаете, Windows е богат на недостатъци, работи на съвместими хардуерни платформи, а "администрацията" му, така да се каже, се обработва от самите собственици, в по-голямата си част не е твърде сложна по отношение на защитата. Като се вземе предвид постоянният растеж на машинния парк на Windows, става ясно защо именно тази система е получила ролята да се превърне в основния кандидат за „зомби“.
Всеки е добър в Windows за DDoS организаторите, с изключение на един важен детайл: видовете „сокети“, налични в тази система (сокет - логическа конструкция, която капсулира основните мрежови операции), са ограничени до поточни „сокети“ (SOCK_ STREAM) и дейтаграма "гнезда" (SOCK_DGRAM). В системата няма поддръжка за така наречените необработени сокети (SOCK_RAW).
Сурови сокети и Windows XP
Сред големия брой нови инструменти, които създателите на следващата версия на операционната система ще внедрят, една подробност привлече вниманието на Гибсън. Windows XP планира да компенсира недостатъците на внедряването на Berkeley Sockets, по-специално да осигури поддръжка за сурови сокети. Следователно, с разпространението на Windows XP ще стане много по-трудно да се противодейства на атаки като тази, засегната от GRC.
Гибсън излезе с предложение, противоречията около което не стихват от около два месеца. Същността му се свежда до следното: ръководството на Microsoft трябва да се откаже от внедряването на сурови сокети в Windows XP. Тъй като досега Windows успешно се е справял без този тип "сокет", няма нужда да ги включвате в нова версия и да давате на хакерите толкова мощен инструмент.
Предложението на Гибсън обаче не впечатли разработчиците на Windows XP както трябва. Първо, те твърдят, че суровите сокети вече са внедрени в Windows 2000 и, както се казва, не се е случило нищо ужасно. Второ, безопасността чрез отклонение от стандартите е лоша практика.
Първото твърдение със сигурност не съдържа вода. Windows 2000, който поддържа сурови сокети, се използва предимно в корпоративна среда "под наблюдението" на опитни администратори. Нов софтуер се инсталира рядко, често централно, компютрите са обект на антивирусен контрол и мрежата е защитена от защитна стена. Ако програмата "зомби" по някаква причина остане незабелязана и се присъедини към атаката, администраторът най-вероятно ще обърне внимание на неоправдано увеличение на изходящия ICMP или UDP трафик, ще анализира причините и ще предприеме подходящи мерки.