Често задавани въпроси

На 24-ти февруари правителството на Пакистан нарежда на ISP-тата в страната да блокират Youtube поради “богохулно web съдържание/филми”. Подобни блокирания не са новост - в миналото подобни декрети са издавани и за други услуги на Google, a именно блог платформата blogger.com. На следващия ден един от пакистанските доставчици , решава да се престарае в изпълнението и използва част от фунционалността на BGP за да разпространи невярни маршрутизирания по рутерите из цял свят:

Pakistan Telecom (AS 17557) започва да разизпраща част¹ от мрежата на YouTube² (AS 36561) към собственият си доставчик - PCCW ). Вредното съдържание е направено така, че маршрутизаторите по света да изпращат трафика, предназначен за YouTube към PCCW. В резултат на атаката сайта е паднал за няколко часа ( както и някои са забелязали ), като за още няколко часа след това има проблеми със скоростта на достъп. Подобни атаки не са новост, макар и предишните случаи ( примери за случки през 1997 ( AS 7007 ), началото на 2006 и Коледа 2005 ) да става основно въпрос за грешна конфигурация, а не за целенасочена атака. Въпреки, че атаката е прекратена няколко часа след това ( подробно обяснение и лог тук ) остава съмнението в модела на работа на маршрутизаторите, основан на доверие между доставчиците. Подобен модел е поддатлив на атаки от един ( или няколко ) злонамерени доставчици, а евентуалните криптографски решения във вид на цифрови подписи и т.н. могат да бъдат твърде ресурсоемки, за да бъдат изградени със сегашната инфраструктура

1. 208.65.153.0/24 [обратно горе↩]
2. 208.65.152.0/22 [обратно горе↩]

Тъй като напредъка в борбата с бот-мрежите заплашват солидните приходи на бот-пастирите, то последните се стараят следващите им отрочета да са по-хитри, по-незабележими и да носят все повече пари. Типичен пример за това е споменатия наскоро ботнет Mega-D, както и една новооткрита бот-мрежа, наречена MayDay от откривателите си от Dambalia. При MayDay  има изградени няколко комуникационни канала, които осигуряват надежност на връзката:

•  стандартен HTTP към сървърите за контрол и управление. Този протокол ползва дори и настройките за прокси на заразения компютър и може да премине през доста от традиционните мерки за сигурност, които се прилагат от администраторите. Нещо повече - взети са специални мерки да се затрудни анализа на бот-а от антивирусните компании, включително генериране/проверка на времеви кодове.
• P2P комуникационен канал между отделните компрометирани машини, като комуникацията е замаскирана като ICMP протокол¹
• втори P2P канал, който не е замаскиран като друга услуга.

Mega-D пък използва нов гаден трик - голяма част от е-майл сървърите ( SMTP за техничарите ) използват проста техника за отказване на спамъри - ако за даден изпращач се подозира, че е спамър, то мейл сървъра го кара да отложи изпращането на писмото с известно време ( достигащо до няколко часа ). За обикновен спам рилей това е достатъчно да се откаже, но Mega-D всъщност запазва писмото и наистина го изпраща след исканият период от време.  За първи път такава функционалност се забелязва на толкова ниско ниво.

Също така изследователи твърдят, че са намерили връзка между бот-а на Mega-D и малко известната фамилия вируси “Ozkok”, често използвана от руските хакерски общности.

1. или пинг - за лаиците [обратно горе↩]

Много често в по-големите офиси се инсталира нов мрежови многофункционален принтер ( някои фирми дори го наричат “документен център” ), който освен баналното разпечатване на документи, може и да сканира, подвързва, пере, глади, изпраща факсове, прави кафе и т.н. Това, което много често се забравя е, че всъщност в тези устройства работят по-скоро като сървър от по-нисък клас или дори работна станция - със всичките рискове по сигурността, които произлизат от това. Най-често са базирани на Linux, a за почти задължителният web-интерфейс се ползва добре известния Apache сървър. Ключовото тук е, че използваните дистрибуции и версии на приложенията бързо остаряват и докато при нормалните сървъри е (относително) лесно да се обнови софтуера с такъв, при който са запушени откритите уязвимости, то при многофункционалките това съвсем не е така. При тях трябва да се чака нова версия на софтуера от производителя, а в повечето случаи този софтуер е фокусиран върху производителността и възможностите на принтера, а не върху сигурността. Това недоглеждане довежда до относително ниското ниво на защита на тези устройства. На пръв поглед - нищо особено, най-много някой да разпечата 500 страници със случаен текст от другата страна на океана, нали ? Да, ама не - ако някой има достъп до този принтер, това означава, че има копие от всички документи които се принтират, а в много случаи - и до тези, които само се копират. Помислете си какво би означавало някой да има копие от всичките версии на договорите, фактурите, фишове за заплати и т.н. и колко би платил конкурента ви за подобна информация.

Technorati : security, принтер, сигурност

В скорошно изследване Georgia Instutute of Technology и Google оценява броя на фалшивите DNS сървъри в Интернет на около 68000. Това са сървъри, които контролирани от престъпници¹, връщат погрешна информация на заявките, отправени към тях, като по този начин подвеждат потребителите. Атаката работи по следният начин - когато напишете адрес в браузера си, браузерът пита DNS² за IP адреса на искания от вас сайт. Ако конфигурирания DNS сървър е компрометиран, или компрометиран сървър успее да прехване заявката и да отговори вместо питания сървър, вие получавате грешен адрес, който ви отвежда или на страница, която страшно много прилича на търсената от вас или на сайт, затрупан от реклами. В единият случай се цели да се прехванат вашите лични данни ( адрес и парола за електронна поща, имена, адреси, кредитни карти ), а в другия случай - директна печалба от показваните реклами.

Въпреки, че този тип атаки не са нови, напоследък се забелязва увеличението им, в повечето случаи съчетано с някаква друга атака - опит за инсталиране на бот, целенасочена атака към организация или вирус, който подменя DNS настройките, така че заявките да отидат към измамнически сървър.

Както става в повечето случаи - има решение на проблема, което се поддържа от голяма част от браузърите, операционните системи и сървърите, но поради инерцията и ниската квалификация на огромна част от администраторите и техническия персонал, тази защита не се имплементира. Всъщност решението е просто - с помоща на цифрови подписи всеки DNS отговор се подписва от сървъра, което го аутентифицира пред потребителя. Това обаче ще добави значително натоварване към DNS сървърите, както и ще причини допълнителен трафик през мрежата, който не е за пренебрегване. Все пак само за отварянето на една страница браузърът може да генерира десетки и дори стотици DNS заявки ( макар, че това е белег на лош дизайн ).

Technorati : dns, интернет, сигурност, сървър

1. нарочно не ги наричам “хакери” и не добавям нищо “електронно”. Те са си престъпници. [обратно горе↩]
2. Domain Name Server [обратно горе↩]

Guofei Gu, Junjie Zhang, and Wenke Lee ( дори не смятам и да се опитвам да ги произнеса ) от Georgia Tech са разработили прототип на нов софтуер, който е способен да засича и унищожава ботнети. Софтуерът, наречен BotSniffer е разработен като плъгин към добре известния IDS с отворен код Snort¹. Използвайки статистически методики за откриване на аномалии, софтуерът е способен да разпознае наличието на ботнет по комуникацията за контрол и управление, често прикрити като HTTP или IRC протоколи. Основно предимство е факта, че по този начин могат да бъдат разпознати и сървърите, които управляват този ботнет. Този прототип е първата стъпка към комерсиалните пакети за разпознаване и унищожаване на ботнети.Явно е, че борбата с тях се влива в руслото на антивирусните пакети, където големите компании като McAfee, TrendMicro, Symantec вече добавиха определена функционалност в тази насока към своите пакети. Ботнетите вече се разпознават като сериозна заплаха за сигурноста в Интернет и оперирането на ISP-та и дори по-големите ботнети си имат посветени сайтове за наблюдение - например в TrustedSource за любимият ми Storm.

От другата страна на фронта, при създателите на ботнети, тази стъпка ще доведе до усложняване и поумняване на ботнетите, използване на нови, криптирани протоколи за комуникация и изграждане на P2P мрежи за децентрализирано управление на ботнета - все неща, които малко по малко почнаха да си проправят път.

Ето и линк към описанието на алгоритъма и прототипа: BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic

Technorati : антивирус, ботнет, мрежи

1. BotSniffer е отделен и независим пакет от Snort [обратно горе↩]

Четох как Делян се възмущава от поредната журналистическа простотия. Всъщност 4-ти февруари беше значима дата за IPv6, защото ICANN официално обяви 6 от 13-те коренови DNS сървъра в IPv6. Събитието е значимо, защото вече е възможно “чисто” IPv6¹ хост да се свърже с друг IPv6 хост, без да използва IPv4 за DNS заявки.

Любопитно е да се отбележи, че кореновият сървър К вече получава повече от 100 IPv6 заявки в секунда, а максималната честота на IPv4 заявките е 9000 в секунда. Въпреки, че изглежда малко, това е белег, че IPv6 навлиза в Интернет, като следващата стъпка е доставчиците на услуги да почнат да ги предоставят и по v6. Но и за това ще настъпи време.

Technorati : мрежи

1. т.е. без IPv4 адрес [обратно горе↩]