Все новости от 8 июня 2001 г.

Разгорается спор вокруг безопасности Windows ХР

Президент Gibson Research Group Стив Гибсон (Steve Gibson) убежден, что Microsoft совершила серьезную ошибку, реализовав полную поддержку так называемых raw sockets в своей операционной системе Windows ХР, которая должна выйти 25 октября. Гибсон утверждает, что это намного облегчает злоумышленникам организацию распределенных атак типа denial of service (DDoS), и призывает Microsoft исключить эту функцию, которая, по его словам, станет еще одной «ПРИНЦИПИАЛЬНО ТУПИКОВОЙ ИДЕЕЙ в разработках Microsoft».

В ответ на это софтверный гигант обвинил Гибсона в том, что его опасения не имеют ничего общего с действительностью, и опроверг наличие угрозы из-за реализации raw socket.

Хакеры организуют атаки DDoS при помощи кода (называемого зомбирующими программами, или Bots), устанавливаемого на компьютер другого пользователя без его ведома. Этот код посылает в целевую сеть, выбранную хакером, запросы данных по интернету. Если хакеру удается завладеть большим числом компьютеров, то он может наводнить эту сеть запросами, препятствуя попаданию в нее другого интернет-трафика. Атаки DDoS использовались для вывода из строя многих крупных веб-сайтов, включая Amazon.com, Yahoo! и даже один из собственных сайтов Microsoft.

Системный администратор может попытаться отбиться от атаки DDoS, определив IP-адреса участвующих в ней компьютеров и заблокировав все запросы данных, поступающие от этих адресов. Однако реализация поддержки raw socket позволит компьютеру под Windows ХР генерировать «фальшивый» IP-адрес, так что объект DDoS-атаки не сможет определить подлинный IP-адрес атакующей машины.

Поддержка raw socket реализована и в Windows 2000, версии операционной системы для предприятий. По мнению Гибсона, главная опасность, исходящая от ХР, заключается в том, что со временем она будет установлена на миллионах компьютеров индивидуальных пользователей, многие из которых не в состоянии обеспечить защиту своих систем от попыток установить на них зомбирующий код. Гибсон сообщил о своих опасениях руководителям Microsoft, предупредив их о том, что это представляет «угрозу функционированию и безопасности всего интернета».

Скажем «Нет» враждебному коду!
В ответе, опубликованном в среду на сайте TechNet, Microsoft отвергла обвинение в том, что реализация поддержки raw socket в Windows ХР является серьезным просчетом. Компания утверждает, что условием повышения степени безопасности служит в первую очередь предотвращение любой возможности исполнения на компьютере пользователя враждебного кода. «Microsoft организует кампанию под лозунгом „Нет враждебному коду!”, цель которой — предотвратить возможность проникновения злоумышленников в компьютеры пользователей, — говорится в заявлении. — Windows ХР содержит необходимые для этого средства, включая Internet Connection Firewall, который делает пользователей ХР „практически невидимыми” в вебе, а также предполагает меры по предотвращению запуска приложений в Outlook».

Однако Гибсона эти объяснения Microsoft не удовлетворили. Он назвал корпорацию «серьезно поврежденной рассудком» и намерен продолжать борьбу с реализацией raw socket. В ближайшее время будет готов его ответ Microsoft.

Гибсон, программист с тридцатилетним стажем, в прошлом месяце сам стал жертвой нескольких атак DDoS, организованных юным хакером. Гибсону удалось выследить его и установить, что весь используемый для этих атак зомбирующий код хакер написал не сам, а выудил из интернета. Простота, с какой можно найти опасное ПО, беспокоит многих экспертов по информационной безопасности.

 В продолжение темы:

Обсуждение и комментарии

	Qrot 8 Jun 2001 1:01 PM
я так понял, человек ищет виноватых в том, что его сайт "сделали" если юный кулхацкер все для нападения скачал из инета - значит этим дырам сто лет в обед - значит есть патчи/решения/итд - значит надо было скачать и поставить эксперт, блин!
	bard 8 Jun 2001 1:12 PM
2Qrot От DoS атак патчи пока мало помогали :)
	Anton - azgalaweb.ru 8 Jun 2001 2:01 PM
На линуксе эти raw-sockets используются тучу лет, есть даже модуль к перлу. Написать DOS атаку - раз плюнуть, да и таких программ в интернете море. Запрещать raw sockets на винде - глупо, кто мне запретит с другой системы атаковать.
	nobody 8 Jun 2001 3:24 PM
Бред какой-то... Даже если до этого raw sockets в NT были не совсем raw, то просто писался дравер, который формировал произвольные пакеты. Похоже мужик действительно не знает, как отмазаться.
	loo - loojetaltavista.net 8 Jun 2001 4:31 PM
Орнигинал на http://grc.com/dos/grcdos.htm Парни, вы не въезжаете. Почитайте.
	nobody 8 Jun 2001 5:24 PM
Прочитали. Посмеялись. "It is impossible for an application running under any version of Windows 3.x/95/98/ME or NT to "spoof" its source IP or generate malicious TCP packets such as SYN or ACK floods." Это так, но только на уровне при использовании SOCK_RAW для работы с сокетами в WinSock. Если же опуститься ниже, то эти ограничения снимаются. Так что гонят...
	Snake - tomilinrambler.ru 8 Jun 2001 6:21 PM
Существование raw-сокетов есть большая головная боль для секурити, с этим, по-моему, смешно спорить. Зачем давать возможность легко и просто спуфить? А Майкрософт странно себя показывает, такое чувство, что они о безопасности первый раз слышат. Если есть 9 противотанковых окопов, и есть время, то надо рыть 10-й. Безопасности много бывает только в том случае, если она начинает мешать работать. В остальных случаях много безопасности не бывает. Если пошли по принципу защиты драйверов цифровой подписью, так надо и ОС защищать. Закройте уровень сокетов - всё было бы неплохо. "Опускаться ниже" - писать драйверы. А они закрыты подписью. Всё вполне строго. А сейчас - смешно. Поверх суперзащищенных драйверов лежит прикладной софт и спуфит, спуфит, спуфит...
	S.Valik - e-moepisem.net 8 Jun 2001 11:41 PM
M$ нужна совместимость, Билл наконец понял это. Юникс он и в Африке Юникс, даже если его назвали WinNT в мохнатом 93. Не все же им портить красивые архитектуры.
	Антон - krivenkogol.ru 9 Jun 2001 12:23 AM
2 Snake. Насчет строгой защиты драйверов подписью. Такой нет и пока что не предвидится... В Windows 2000 появилось понятие Driver Co-Installer (хотя может он и в Win9x был). Такая DLL позволяет обойти проверку цифровой подписи. И даже XP, который без цифровой подписи не видит драйверов вообще, вполне их находит с помощью co-installer... Так что и тут у MS есть лазейка.
	Irsi - irsiextranet.ru 9 Jun 2001 1:03 AM
Бред. Любой правильно настроенный роутер не дает выйти спуфленым адресам за пределы своей сетки. Другой вопрос, что развелась толпа линуксоидов и прочих пыонэров, которые не могут правильно настроить свой роутер... Именно поэтому и существует проблема спуфдленных адресов...:(
	Протопоп 9 Jun 2001 6:05 AM
Дорогие друзья! Позвольте и мне высказать своё мнение по этому, несомненно злободневному вопросу. Как мне кажется, главная беда Интернета на сегодня - отсутствие подлинно интеллектуальных механизмов передачи информации. Вместо того, чтобы анализировать информацию на глубинном, семантическом уровне, ваши роутеры попросту руководствуются простейшими правилами, определяя, к какому адресату и как поступит информация. Вот представьте, к примеру, что завтра вам по почте прийдёт какая-нибудь книга, которую вы желали прочесть. Неплохо, правда? А что, если она же придёт и послезавтра, и через день, и так далее? А совершенно ненужный спам? А порно? Вот так и здесь, вместо того, чтобы решить проблему кардинальным образом, создав интеллектуальные фильтры информации, которые за одно решили бы всю проблему хакерских аттак, ибо хакерам пришлось бы вступить в единоборство с равным по силе механическим противником, а не каким-нибудь админом, изобретаются кривые обходные решения. - С уважением, Протопоп.
	Egres 9 Jun 2001 7:45 AM
2 Irsi:Бред. Любой правильно настроенный роутер не дает выйти спуфленым адресам за пределы своей сетки. ================================================ Это так.... А разговор то идет об обычном юзвере. Покажи мне где у домашних пользователей или у небольших контор маршрутизатор стоит, да еще с ПО фаервола. Метод описанный тобой позволяет твоей сети не быть источником DoS атаки, но тебя самого не защитит. ================================================ Другой вопрос, что развелась толпа линуксоидов... ================================================ IMHO предвзятое мнение :-))
	Woll 9 Jun 2001 8:41 AM
На самом деле у гибсон столкнулс со вполне конкретной проблемой, которую ему удалось "решить" в какой-то мере (он выкидывает эти проблемы на роутере, это спасает, потому что у атакущих не хватает мощей зафлудить толстый канал к роутеру). Однако не сущетвует простого способа решить ту же проблему в случае подмены адресов. Вот ему и не нравится идея ввеси raw сокеты повсеместно (мне кстати тоже -- зачем?)
	Lazy 9 Jun 2001 10:21 AM
"Трудно стало работать. Развелось много идиотов, которые говорят правильные слова". Несколько интересных, толковых замечаний, а в основном голый апломб. "Есть два мнения - одно неправильное, другое моё". "Гибсон дурак, а я умный!""Гейтс сволочь, M$ must die!" Уровень дискуссии удручает. "Он говори: "Ничем я не обязан, ни учителям , ни старым мастерам, и ни с какими школами не связан, учиться у кого-то стыд и срам!" - Все это можно изложить и так:"Ничьей-нибудь своей я милостью дурак!""
	me - userinternet.com 9 Jun 2001 11:04 AM
Сначала все вопили, что винды - говно, потому что не дает многого делать, и разработчик вынужден придумывать кучу обходных путей. А стоило появиться новому инструменту, так сразу завопили, что это несекурно. Ребяты, я так понимаю, вам лишь бы на МС поплевать, не так ли?
	Snake - tomilinrambler.ru 9 Jun 2001 12:04 PM
2me Да что ж спорить с теми, кто поливает что-либо грязью? Причём здесь поплевать? Скажите, профессионально ли заменять механизм "кампанией"? Просто детский лепет. Узнаю великих маркетологов. - А почему Вы пистолеты раздаёте всем людям без всяких лицензий? - А у нас кампания "Не стреляй!"... Где умение проектировать ОС, которым МС похваляется? Как надо: гибко И просто И секурно. Остальное - плохо. Raw сокеты - проблема тех ОС, в которых они есть, и Линуксу тоже тут похвастать нечем. Так коли ты лидер - двигай индустрию в верном направлении, а если ты говоришь глупости, то не лидер вовсе, а так, чайку попить/деньжат срубить зашёл. 2Irsi С Вашего разрешения RFC касательно ingress filtering (2827, коли правильно помню) имеет статус Best Current Practice. Даже не PROPOSED STANDARD. Так что говорить о "любом правильно настроенном роутере" пока что смело.
	Irsi - irsiextranet.ru 9 Jun 2001 1:04 PM
2Egres: кошка 800й серии стоит около 800$, ее поддержка у своего ISP - порядка 15$. Комп, исполняющий роль машрутизатора, да еще с адаптером v.35/ISDN обойдется явно не дешевле, поддержка его стоит дороже. Ценя сказаные самими линуксоидами - комп около 500$ и это _БЕЗ_ v.35/ISDN. Кроникс стоит порядка 400$, адаптер ISDN - да с ним немного дешевле, он порядка 200$ стоит... Теперь поддержка - хотят 30-50$ в месяц + 150$ дополнительно каждые 3 месяца за обгрейд софта. Если держать своего юниксоида, то это 300$ за студента и минимум 500$ за нормального. Правда свой кошковед обойдется не дешевле, особенно если он CCIE. :) Шутка - CCIE в обычной конторе нафиг не упал, его место в ISP или крупной корпорации. 2Snake: посмотри на статус RFC2505 к примеру... Точно такой же к слову... А попробуй его не соблюдать - сразу таких люлей вломят. :)
	Egres 9 Jun 2001 1:17 PM
2 Irsi: Честно говоря не совсем понял нафига ты мне баксы вывалил :-)))). И как они тебе помогут от DDoS защититься. Да будь ты хоть хоть CCIE или CCNA, если у тебя выставлены публичные сервера в DMZ зоне, максимум что ты сможешь так это вовремя обнаружить атаку, определить источник/источники атаки, и либо блокировать весь трафик с них, либо если ты "агрессивный" админ, то завернуть весь их трафик на них же :-))).
	Snake - tomilinrambler.ru 9 Jun 2001 1:21 PM
2Irsi: Так енто - паблик релеи были, есть и будут. И логи не на всех ведутся. А это - вроде - впрямую против 2505. Или не прав? Люлей вломить непросто. Что спам, что скан пока что не для всех - "плохо"...
	me - userinternet.com 9 Jun 2001 1:49 PM
- А почему Вы пистолеты раздаёте всем людям без всяких лицензий? - А у нас кампания "Не стреляй!"... ======= Ну так давайте тогда производить только водяные пистолеты? Забудем про то, что другие производят настоящее оружие. Зато прогресс будем двигать...
	V - no.. 9 Jun 2001 2:04 PM
Я дизайнер, и совсем не понимаю в DOS атаках.. Скажите, а позволит ли это, появиться такому классу вирусов для DDoS атак: Усер получив вирус по е-маил (само собой запускает его:) и потом его комп начинает DDoS-ить всех кого попало. ну и так далее...
	Snake - tomilinrambler.ru 9 Jun 2001 2:17 PM
2V Почему появиться? Их уже есть. Только не "кого попало", а кого скажут и когда скажут - в этом и есть не DoS, а DDoS. Только это не вирусы, а черви. 2me Нет, давайте производить пистолеты, лицензии на пистолеты выдавать и номера записывать. Причём хорошо бы ещё, чтобы из пистолета стреляли только для защиты при нападении, а в других случаях использовать не могли. Тогда аналогия будет полной - "безопасный пиштолет" ;-). И все их выберут, потому как обладателей других - потенциально опасных - начнут щмонать с усердием.. Для программных продуктов: если ты делаешь "как проще", то не делай вид, что думаешь о безопасности, постыдись...
	Виндоватый 19 Feb 2002 11:27 AM
Такое ощущение, что при любом развитии защиты будут способы взлома. При любых лекарствах будут болезни. При любых правилах будут исключения. и тд.