Необработени сокети и мрежова сигурност

Споделете в социалните мрежи:

Вечерта на 4 май мрежата на Gibson Research Corporation (GRC) беше атакувана. Нападателят не се е опитал да копира класифицирана информация или да използва ресурсите на компанията за собствени нужди. Хакерът преследва изключително разрушителни цели: да деактивира мрежата, като я залее с UDP пакети. Атаката за деактивиране на услуги не е необичайна в наше време, но това доста тривиално събитие все пак предизвика бурна дискусия в пресата и интернет форумите.

Как започна

Целта на поредната атака хакери избраха компания, чийто президент е Стив Гибсън, известен експерт в областта на компютърната сигурност, който е напълно способен да анализира ситуацията и да разкрие механизма на атаката.

Пакетите, които нападателят наводнява каналите, свързващи GRC с ISP (две линии T1), идват от различни възли, принадлежащи към различни мрежи - типична DDoS атака. Анализирайки входящите пакети, Гибсън идентифицира 474 атакуващи компютъра. С основание предположи, че на тези машини е въведена зомби програма, той изпраща имейл съобщения до мрежовите администратори с молба да проверят машините си за троянски коне. Скоро файлът rundlI.exe (последната буква е главна латиница „I“) беше в ръцете на Гибсън, който служи като посредник между нападателя и неговата жертва.

Зомби подслон

Всички машини, участващи в атаката на GRC, работеха под Windows. Това е очаквано. В края на краищата основното условие е наличието на програма "зомби", която по някакъв начин трябва да се качи на машината и да бъде стартирана в системата. Както знаете, Windows е богат на недостатъци, работи на съвместими хардуерни платформи, а "администрацията" му, така да се каже, се обработва от самите собственици, в по-голямата си част не е твърде сложна по отношение на защитата. Като се вземе предвид постоянният растеж на машинния парк на Windows, става ясно защо именно тази система е получила ролята да се превърне в основния кандидат за „зомби“.

Всеки е добър в Windows за DDoS организаторите, с изключение на един важен детайл: видовете „сокети“, налични в тази система (сокет - логическа конструкция, която капсулира основните мрежови операции), са ограничени до поточни „сокети“ (SOCK_ STREAM) и дейтаграма "гнезда" (SOCK_DGRAM). В системата няма поддръжка за така наречените необработени сокети (SOCK_RAW).

Сурови сокети и Windows XP

Сред големия брой нови инструменти, които създателите на следващата версия на операционната система ще внедрят, една подробност привлече вниманието на Гибсън. Windows XP планира да компенсира недостатъците на внедряването на Berkeley Sockets, по-специално да осигури поддръжка за сурови сокети. Следователно, с разпространението на Windows XP ще стане много по-трудно да се противодейства на атаки като тази, засегната от GRC.

Гибсън излезе с предложение, противоречията около което не стихват от около два месеца. Същността му се свежда до следното: ръководството на Microsoft трябва да се откаже от внедряването на сурови сокети в Windows XP. Тъй като досега Windows успешно се е справял без този тип "сокет", няма нужда да ги включвате в нова версия и да давате на хакерите толкова мощен инструмент.

Предложението на Гибсън обаче не впечатли разработчиците на Windows XP както трябва. Първо, те твърдят, че суровите сокети вече са внедрени в Windows 2000 и, както се казва, не се е случило нищо ужасно. Второ, безопасността чрез отклонение от стандартите е лоша практика.

Първото твърдение със сигурност не съдържа вода. Windows 2000, който поддържа сурови сокети, се използва предимно в корпоративна среда "под наблюдението" на опитни администратори. Нов софтуер се инсталира рядко, често централно, компютрите са обект на антивирусен контрол и мрежата е защитена от защитна стена. Ако програмата "зомби" по някаква причина остане незабелязана и се присъедини към атаката, администраторът най-вероятно ще обърне внимание на неоправдано увеличение на изходящия ICMP или UDP трафик, ще анализира причините и ще предприеме подходящи мерки.

С Windows XP нещата стоят малко по-различно. Изданието Home е предназначено за домашни потребители, които са извън контрол. Максимумът, който може да се направи по отношение на такъв потребител, е да го изключите от интернет. Но дали доставчикът се интересува от подобни мерки?

Що се отнася до втория аргумент на Microsoft, трудно е да не се съглася с него. Всъщност е необходимо да не се ограничават видовете „гнезда“, а да се затрудни възможно най-много програми, работещи в полза на хакери, да проникнат в потребителските компютри. Какво предлага новата операционна система в тази посока?

  • Първо, защитната стена за интернет връзка ще бъде включена в Windows XP. Когато се свързва с интернет, потребителят ще бъде изрично попитан дали да го инсталира.
  • На второ място, в системата се планира да се приложат набор от инструменти, които да забранят изпълнението на код и скриптове от определен тип. Колко успешно ще работят тези средства - времето ще покаже.
  • Трето, при внедряването на пощенски клиенти са предприети редица мерки за предотвратяване на стартирането на прикачени програми, което значително ще усложни разпространението на хакерския код по електронната поща.

Тези възможности се прилагат като част от кампанията за сигурност на Microsoft. Основната му цел е да направи невъзможно или поне да направи възможно най-трудното влизане на зловреден код в системата.

Доставчици от всички страни ...

Очевидно, независимо от мнението на трети страни специалисти, ръководството на компанията едва ли ще преразгледа решението си да внедри сурови сокети. Какви трябва да бъдат действията на потребителите и доставчиците, така че мрежите да не станат беззащитни срещу DDoS атаки?

Очевидно основната заплаха не идва от корпорации, които ще бъдат оборудвани с Windows XP Professional Edition, а от отделни, "неорганизирани" потребители. Следователно, на първо място, е необходимо да се блокират каналите за влизане на "зомби" програми в потребителски компютри. Трудно е обаче да се очаква някакъв успех в тази посока.

Всички сме свидетели на триумфалния марш на вируси и пощенски „червеи“ на потребителските компютри. Колко често сте използвали антивирусен софтуер? Разбира се, редица потребители редовно проверяват автомобилите си. Има дори фанатици, за които търсенето на вируси се е превърнало в основното им занимание. Но доста често има и напълно противоположно отношение. Всъщност от какво трябва да се страхува някой, който има най-ценното на диска - копие на друга популярна игра и ICQ клиент, чрез който обменя впечатления със съмишленици.

По този начин потребителите се отнасят към вируси, които заплашват да форматират техния твърд диск. Какво можем да кажем за някой „троянски кон“, който ще участва само в атака срещу чужда мрежа. Наивно е да очакваме дисциплина от онези, които никога не са се отличавали с нея и са свикнали да заменят знанията с умения.

Windows XP се предлага с лична защитна стена, но колко потребители ще искат да я инсталират (и все още не е известно дали ще филтрира изходящия трафик)? Докато инсталирането на защитна стена не стане предпоставка за инсталирането на операционна система, основната тежест за борба с DDoS атаките пада върху доставчиците. Може би поне ще се вслушат в гласа на здравия разум. Освен това им е достатъчно да се придържат към много прости и не особено тежки правила: наложително е да филтрират изходящия трафик и да отказват услуга на потребители, чиито компютри са забелязани да генерират неправилни пакети. Разбира се, загубата на клиенти не е много приятна, но едва ли някой от доставчиците се интересува от предаване на хакерски трафик по техните линии.

Какво заплашва администраторите на уеб сайтове

Атаките за отказ на услуга (DoS) са известни отдавна. Обикновено тази атака се извършва чрез заливане на компютъра на жертвата с пакети от определен тип. Понякога се предприема DoS атака, за да се прикрие опит за компрометиране на система, но по-често това е безсмислен акт на вандализъм.

Един от най-простите видове DoS атаки е SYN наводнение. Както знаете, при установяване на връзка се използва тристепенен процес на ръкостискане. Инициаторът на връзката изпраща SYN пакет и получава SYN/ACK пакет. След като инициаторът отговори с ACK пакет, връзката се счита за установена. При наводнение на SYN атакуващият компютър изпраща SYN пакет и получава SYN/ACK, но не потвърждава самата връзка. Запис на предстоящото ръкостискане се съхранява в буфер, докато изтече времето за изчакване. Чрез постоянно предаване на SYN пакети, атакуващият компютър постига препълване на буфера, след което става невъзможно да се установи връзка.

В момента има различни скенери, които ви позволяват да откриете наличието на „зомбита“ в системата.