Raw sockets і безпеку мереж, Інтернет і інші мережі, Security & Hack, статті

Віктор Вейтман, ITC Online

Увечері 4 травня мережа Gibson Research Corporation (GRC) піддалася атаці. Зловмисник не намагався скопіювати секретну інформацію або скористатися ресурсами компанії для своїх потреб. Хакер переслідував виключно деструктивні цілі: вивести з ладу мережа, наповнивши її UDP-пакетами. Атака з метою виведення служб з ладу – не рідкість у наш час, однак це досить тривіальне подія стала, проте, причиною бурхливої ​​дискусії, що розгорнулася в пресі та Internet-форумах.

Як це починалось

Об’єктом чергової атаки хакери вибрали компанію, президентом якої є Стів Гібсон – відомий фахівець в області комп’ютерної безпеки, цілком здатний проаналізувати ситуацію і розкрити механізм атаки.

Пакети, якими зловмисник наповнив канали, що з’єднують GRC з провайдером (Дві лінії T1), надходили з різних вузлів, що належать різним мережам, – наявності типова атака DDoS. Аналізуючи надійшли пакунки Гібсон виявив 474 атакуючих комп’ютера. Справедливо припустивши, що на ці машини була впроваджена програма-“зомбі”, він відправив адміністраторам мереж поштові повідомлення з проханням перевірити свої машини на наявність “троянських коней”. Незабаром в руках Гібсона виявився файл rundlI.exe (остання буква – заголовна латинська “І”), який і виконував функції посередника між зловмисником і його жертвою.

Будучи запущеної в системі, “зомбі” негайно зверталася до певного Chat-серверу і чекала інструкцій. Потім по команді з “центру управління атакою “вона починала генерувати UDP-пакети великого розміру і посилати їх за адресою жертви.

Знаючи механізм атаки і адреси інфікованих машин, Гібсон зміг побудувати і встановити у провайдера фільтр, “відсікає” трафік атакуючих комп’ютерів. Щасливий кінець, як у різдвяних казках? На жаль, на думку Гібсона, тільки початок.

Притулок для “зомбі”

Всі машини, що брали участь в атаці проти GRC, працювали під управлінням Windows. Цього і слід було очікувати. Адже головною умовою є наявність “зомбі”-програми, яка якось повинна потрапити на машину і бути запущеною в системі. Як відомо, Windows багата недоліками, працює на сумісних апаратних платформах, а її “адмініструванням”, якщо можна так висловитися, займаються самі власники, в масі своїй не дуже досвідчені в питаннях захисту. Якщо врахувати постійне зростання парку машин під Windows, стає ясно, чому саме цієї системі випала роль стати головним кандидатом на “зомбування”.

Всім хороша Windows для організаторів DDoS, за винятком однієї істотної деталі: доступні в цій системі типи “гнізд” (socket – логічна конструкція, що інкапсулює основні операції при мережевій взаємодії) обмежуються потоковими “гніздами” (SOCK_ STREAM) і “гніздами” дейтаграм (SOCK_DGRAM). Підтримка так званих raw sockets (SOCK_RAW) у системі відсутній.

Цей тип “гнізд” забезпечують доступ до протоколів найбільш низького рівня і навіть до мережевих інтерфейсів. Зокрема, у системі Unix raw sockets використовуються інструментом getethers, призначеним для збору інформації про комп’ютерах, підключених до мережі Ethernet. Один з побічних ефектів підтримки raw sockets – можливість заміни зворотної адреси в IP-і ICMP-пакетах.

Фактично саме завдяки відсутності в системі підтримки raw sockets Гібсон зміг простежити джерела DDoS-атаки та налаштувати фільтр (хоча навіть на це пішло кілька днів). Була б у хакера можливість довільно підставляти зворотний IP-адреса, обраний за випадковим законом, – і для ліквідації атаки потрібні б набагато більші зусилля. Здавалося б, сама доля зберігає власників персональних комп’ютерів від незавидній ролі посередника в подібних інцидентах. Однак ситуація загрожує змінитися до гіршого.

Raw sockets і Windows XP

На 25 жовтня цього року намічений випуск Windows XP. Очікується, що нова ОС, що буде поставлятися в двох редакціях – Home Edition і Professional Edition, досить швидко завоює визнання не тільки корпоративних, але і домашніх користувачів.

Серед великої кількості нових коштів, які збираються реалізувати творці чергової версії операційної системи, увага Гібсона привернула одна деталь. У Windows XP планується заповнити недоліки реалізації Berkeley Sockets, зокрема забезпечити підтримку raw sockets. Отже, у міру поширення Windows XP протидіяти атакам, подібним тій, якої зазнала GRC, стане значно важче.

Гібсон виступив з пропозицією, суперечка навколо якого не вщухає вже близько двох місяців. Суть його зводиться до наступного: керівництво Microsoft має відмовитися від реалізації raw sockets в Windows XP. Раз Windows досі цілком успішно обходилася без цього типу “гнізд”, нема чого включати їх в нову версію і давати в руки хакерам настільки потужний інструмент.

Однак пропозиція Гібсона не справило на розробників Windows XP належного враження. По-перших, аргументують вони, raw sockets вже були реалізовані в Windows 2000, і, як кажуть, нічого страшного не сталося. По-друге, безпеку за рахунок відхилення від стандартів – порочна практика.

Перше твердження, безумовно, не витримує критики. Windows 2000, в якій підтримуються raw sockets, в основному використовується в корпоративному середовищі, “під наглядом “досвідчених адміністраторів. Нове програмне забезпечення інсталюється досить рідко, найчастіше централізовано, комп’ютери піддаються антивірусному контролю, мережа захищена брандмауером. Якщо ж “зомбі”-програма з яких-небудь причин залишиться непоміченою і включиться в атаку, адміністратор, швидше за все, зверне увагу на невиправдане збільшення вихідного ICMP- або UDP-трафіку, проаналізує причини і прийме відповідні заходи.

З Windows XP справа йде трохи інакше. Редакція Home Edition призначена для домашніх користувачів, які не піддаються якому-небудь контролю. Максимум, що можна зробити по відношенню до такого користувача, – відключити його від Internet. Але чи зацікавлений в подібних заходах провайдер?

Що ж стосується другого аргументу Microsoft, то з ним важко не погодитися. Дійсно, треба не обмежувати типи “гнізд”, а максимально утруднити проникнення програм, що працюють на користь хакерів, на комп’ютери користувачів. Що ж пропонує в цьому напрямку нова ОС?

Ці можливості реалізуються в рамках кампанії по боротьбі за безпеку, розгорнутої Microsoft. Основна її мета – зробити неможливим або принаймні максимально утруднити проникнення шкідливого коду в систему.

Провайдери всіх країн …

28 червня відбулася телеконференція, в якій взяли участь Стів Гібсон і представники Microsoft. Як і слід було очікувати, мова йшла про реалізацію raw sockets в Windows XP. Наприкінці бесіди кожна зі сторін залишилася при своїй думці. Розробники Windows XP продовжують стверджувати, що raw sockets реалізовувати необхідно і що заходи безпеки, прийняті Microsoft, достатні для того, щоб адміністратори мереж могли бути відносно спокійні. Гібсон, зі свого боку, вважає, що рішення Microsoft – помилка, яка загрожує незліченними бідами спільноті Internet.

Судячи з усього, незалежно від думки сторонніх фахівців, керівництво компанії навряд чи стане переглядати своє рішення про реалізацію raw sockets. Які ж повинні бути дії користувачів і провайдерів, щоб мережі не стали беззахисними перед атаками DDoS?

Очевидно, що основна загроза виходить не від корпорацій, які будуть оснащені Windows XP Professional Edition, а від індивідуальних, “неорганізованих” користувачів. Тому в першу чергу необхідно перекрити канали надходження “Зомбі”-програм на комп’ютери користувачів. Однак у цьому напрямку важко очікувати якихось успіхів.

Всі ми були свідками переможного ходу вірусів та поштових “хробаків” по користувальницьких комп’ютерів. Чи часто застосовувалися антивіруси? Звичайно, ряд користувачів регулярно перевіряють свої машини. Трапляються навіть фанатики, для яких пошук вірусів перетворився на основне заняття. Але нерідко зустрічається і абсолютно протилежне ставлення. Дійсно, чого боятися того, у кого найцінніше на диску – копія черговий популярної гри і ICQ-клієнт, через який він обмінюється враженнями з однодумцями.

Так користувачі відносяться до вірусів, що загрожують відформатувати їх жорсткий диск. Що ж говорити про якесь “троянського коня”, який всього лише збирається брати участь в атаці на чужу мережу. Наївно очікувати дисципліни від тих, хто ніколи нею не відрізнявся і звик підміняти знання навичками.

Тепер уявіть, що, з’явившись на комп’ютері користувача, “зомбі”-програма по команді організатора починає атаку. Оскільки зворотну адресу в пакетах буде фальсифікований, одержувач не зможе відфільтрувати їх традиційними способами. Для того щоб якось протидіяти атаці, буде потрібно інтелектуальний брандмауер, що аналізує вміст пакета. Але такий брандмауер також не панацея. Хакеру досить видозмінити сценарій – не посилати пакети безпосередньо в атакуемую мережу, а відправляти ping-запити з будь-якого дійсного IP-адресою, замінивши в них зворотну адресу реквізитом жертви. Хто приходить відповідь буде не відрізняється від звичайного відповіді на ping-запит. При наявності raw sockets не важко організувати також і SYN-повінь.

Боротьба з DDoS буде набагато ефективнішою, якщо вона ініційована з іншого боку – з мережі, якій належить комп’ютер, який бере участь в атаці. Встановивши у цій мережі брандмауер, можна легко позбавлятися від некоректних пакетів, застосовуючи прості правила фільтрації. Досить знищувати вихідні пакети, для яких адреса джерела знаходиться за межами мережі.

До складу Windows XP входить брандмауер, але чи багато хто користувачі захочуть інсталювати його (до того ж поки невідомо, чи буде він фільтрувати вихідний трафік)? До тих пір поки установка брандмауера не стане обов’язковим умовою інсталяції операційної системи, основне навантаження по боротьбі з атаками DDoS лягає на провайдерів. Можливо, хоч вони прислухаються до голосу здорового сенсу. До того ж їм достатньо дотримуватися зовсім простих і не дуже обтяжливих правил: обов’язково проводити фільтрацію вихідного трафіку і відмовляти в обслуговуванні користувачам, комп’ютери яких були помічені в генерації некоректних пакетів. Звичайно, втрачати клієнтів не дуже приємно, але ж навряд чи хтось із провайдерів зацікавлений в тому, щоб передавати по своїх лініях хакерський трафік.

Що загрожує адміністраторам Web-сайтів

Як це не парадоксально, на сьогоднішній день вже майже байдуже, будуть реалізовані raw sockets в Windows XP чи ні. У результаті розгорілася дискусії проблемою підміни зворотних IP-адрес зацікавилися не лише фахівці із захисту, а й хакери. Насправді спроба підміни адрес може бути зроблена і на більш низькому рівні, за допомогою спеціальних системних драйверів. Незважаючи на те що в Windows XP драйвери захищаються цифровим підписом, система дозволяє встановлювати продукти незалежних виробників. У зв’язку з цим навіть представники Microsoft не заперечують, що в принципі хакер має можливість отримати сертифікат і використовувати його для безперешкодної установки драйвера, що є по суті “троянським конем”. Цілком можливо, що скоро ми будемо свідками появи нового класу програм, спрямованих, на жаль, на руйнування.

Атака DoS

Атаки з метою виведення служб з ладу (DoS – Denial of Service) відомі давно. Зазвичай така атака здійснюється шляхом “повені” комп’ютера-жертви пакетами певного типу. Іноді атака DoS робиться для того, щоб замаскувати спробу злому системи, але найчастіше вона представляє є безглуздим акт вандалізму.

Одним з найпростіших типів атаки DoS є SYN-повінь. Як відомо, при встановленні з’єднання використовується трьохетапний процес квитирования (Handshaking). Ініціатор з’єднання передає SYN-пакет і отримує SYN / ACK-пакет. Після того як ініціатор відповідає ACK-пакетом, з’єднання вважається встановленим. При SYN-повінь атакуючий комп’ютер передає пакет SYN і отримує SYN / ACK, але сам з’єднання не підтверджує. Запис про незавершеною процедурі квитирования зберігається в буфері до закінчення тайм-ауту. Постійно передаючи пакети SYN, атакуючий комп’ютер домагається переповнення буфера, після чого встановлення з’єднання стає неможливим.

Атака DDoS

DDoS (Distributed Denial of Service) є модифікацією DoS і відрізняється тим, що при проведенні атаки використовуються скоординовані дії численних комп’ютерів-посередників, які грають активну роль. Для цього на машини впроваджуються спеціальні програми-“зомбі”, що підтримують зв’язок з якимось керуючим центром. За його команді “зомбі” починають генерувати ICMP-або UDP-пакети і передають їх за адресою жертви. Найбільш вражаючим прикладом DDoS стала атака, здійснена 7 лютого 2000 і призвела до виходу з ладу системи Yahoo! на 3 години.

В даний час існують різні програми-сканери, які дозволяють виявити наявність “зомбі” в системі.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*