(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Доверчивая Сеть для недоверчивых юзеров

Источник: astera

Совсем недавно ответственность за небезопасный Интернет перекладывали на ленивых и бессовестных производителей ПО. Особенно доставалось, разумеется, Microsoft, чьи дыры, бреши и уязвимости исправно кормили вирусописателей. В августе все более настойчиво зазвучала новая мысль. Интернет небезопасен по своей природе, поскольку основополагающие протоколы построены на ненадежных принципах вроде доверия.

Публикация в Wired докатилась и до Рунета. На хакерской конференции DefConf собравшимся был продемонстрирован совершенно легитимный способ прослушивания и перенаправления интернет-трафика. Этот трюк эксплуатирует фундаментальную "уязвимость" протокола BGP, вернее, паразитирует на самой идее "доверительной" маршрутизации. Замечательной особенностью этого приема является отсутствие каких-либо следов "взлома", ведь злоумышленники просто аккуратно вводят протокол в заблуждение.

BGP: раздолье для сусаниных

Теоретическая вероятность BGP-инъекций существовала всегда. Заслуга Антона Капелы и Алекса Пилосова состоит в том, что они реализовали манипуляцию на практике и привлекли внимание СМИ. Атака действительно посягает на "святое": эксплуатирует такие фундаментальные для Интернета вещи, как децентрализация и доверие.

Протокол BGP, разработанный еще в семидесятых годах прошлого века, решает проблему уменьшения транзитного трафика. В архитектуре Сети отсутствует глобальный справочник, некая таблица адресов, с помощью которой можно было бы высчитать кратчайшие маршруты. Поэтому провайдеры вынуждены обмениваться информацией о транспортных путях, а также доверять информации, которую предоставляют другие участники обмена. В реалиях нынешней Сети это уже непростительное легкомыслие. Разыскивая IP-адрес среди "честных заявлений" коллег, провайдер делает выбор в пользу более узкого диапазона, намереваясь пойти самым эффективным путем. Вот тут-то злоумышленники и наносят удар ниже пояса, перехватывая трафик.

"Мы не сделали ничего экстраординарного, - заявил Капела в интервью Wired. - Нет уязвимости, нет ошибки протокола, никаких проблем в самом софте". Кстати, аналогичные попытки "вырубить Интернет за 30 минут" делались еще 10 лет назад. Однако до последнего времени считалось, что настолько "чистые" способы мониторинга и перехвата трафика доступны лишь разведывательным агентствам.

"Ситуация усугубляется тем, что сейчас многие операторы не утруждают себя фильтрацией анонсов своих же сетей, в результате чего любой оператор автономной системы может зарегистрировать любой маршрут. Данное положение дел может быть на руку киберпреступности", - уверен Евгений Кузин, руководитель отдела сетевых проектов компании "Доктор Веб".

Протоколам рано на свалку

В этом контексте многим вспоминается еще одна "протокольная" уязвимость, о которой стало известно в июле. Тогда всеобщее беспокойство вызвала система DNS, а "обнаруженная" дыра позволяла подменять IP-адреса и перенаправлять пользователей на фальшивые сайты. Насколько опасной является такая тенденция, когда трещины обнаруживаются в самом фундаменте Интернета? Может быть, все дело в моральном устаревании протоколов, созданных в рамках "романтической" концепции Сети?

В ESET поостереглись давать долгосрочные прогнозы относительно того, смогут ли недостатки интернет-протоколов негативно повлиять на криминогенную обстановку в Сети. "В любом случае в IT любой продукт периодически обновляется, выходят новые версии и заплатки. Строго говоря, даже известный всем язык гипертекстовой разметки (HTML) постоянно развивается. То есть заметного технологического разрыва между версиями протоколов, программ просто нет", - высказал свою точку зрения Григорий Васильев, технический директор компании.

В компании "Доктор Веб" правильную линию видят в исправлении текущих уязвимостей, которая будет сопровождаться разработкой новых протоколов, лишенных архитектурных недостатков прежних реализаций.

Кстати, проблема BGP уже имеет несколько решений. Гарантированно предотвратить манипуляции с трафиком смог бы грамотный механизм фильтрации, однако он, как предполагается, будет слишком затратным для провайдеров. Альтернативой является сертификация автономных систем, чтобы доверие из безграничного стало разумным.

Себя показать, народ напугать

Примечательно, что лишь демонстрация в боевых условиях заставила весь мир говорит о BGP-инъекциях как о серьезной проблеме. С другой стороны, правильно делать столь серьезные "дыры" достоянием общественности? Может быть, лучше не привлекать излишнего внимания.

"BGP-инъекции являются известной проблемой, решение которой если и есть, то не в технической области, - полагает Михаил Кондрашин, глава Центра компетенции Trend Micro в России. - Тут нужно менять парадигму Интернета (например, отказаться от полной децентрализации), а значит вовлекать в решения проблемы людей, далеких от технологий. Для того, чтобы этот процесс, по крайней мере, начался, определенная шумиха необходима".

Демонстрация проблем в BGP вполне допустима с юридической точки зрения. Представителю ESET она кажется проблематичной с позиции профессиональной этики. "Наша цель - усложнять жизнь вирусописателям, а не упрощать ее. По этой же причине мы негативно относимся к специализированным мероприятиям, где хакеры соревнуются в том, кто быстрее, лучше и чище обойдет ту или иную защиту", - пояснил Григорий Васильев.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 01.09.2008 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
КОМПАС-3D v17 Home
Allround Automation PL/SQL Developer - Annual Service Contract - 5 users
VMware Workstation 14 Player for Linux and Windows, ESD
erwin Data Modeler Workgroup Edition r9.7 - Product plus 1 Year Enterprise Maintenance Commercial
Stimulsoft Reports Server Team 10 users
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Новые материалы
Один день системного администратора
Все о PHP и даже больше
Windows и Office: новости и советы
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100