Автор будет честен. В слишком многих приложениях реализованы такие опасные вещи, как собственные механизмы автоматического обновления старых версий программы на новые. Хотя это позволяет облегчить внесение исправлений в хамски взломанный код. Централизация процесса обновления программ имеет свои преимущества. Когда была найдена вопиющая брешь в системе защиты AOL Instant Messenger, которая потенциально могла оставить без защиты свыше 50 млн хостов, централизованная архитектура AOL IM позволила устранить угрозу. Благодаря централизованной архитектуре если не удавалось полностью в автоматическом режиме исправить установившую соединение клиентскую программу, то при помощи фильтрации можно было защитить сеть от атакующих сетевых пакетов. Несмотря на то что автоматическое обновление и централизация обладают значительными возможностями, их преимущества могут быть эффективно использованы против законных провайдеров услуг. К сожалению, очень редко к системе получают доступ лишь одни законные пользователи. В двух словах: это аморально.

Эффект обмана

Атаки фальсификации могут обладать большой разрушительной силой, и не только в компьютерных сетях. Вот что пишет Дорон Гелар (Doron Gellar):

«Взлом израильтянами шифров Египетской армии позволил им дезинформировать Египетскую армию и их военно-воздушные силы. Израильские офицеры отдавали приказы пилотам египетских МиГов сбрасывать бомбы над морем вместо нанесения бомбовых ударов по позициям израильских войск. Если пилот сомневался в правдивости приказа, офицер израильской разведки сообщал пилоту подробные сведения о его семье. В итоге пилот сбрасывал бомбы над Средиземным морем и катапультировался».

Дорон Гелар (Богоп Ое11аг), израильская разведка в войне 1967 года

В рассмотренном примере пилот характеризуется своим «индексом потенциального доверия». Его законное командование, возможно, знало его подноготную, но было уверено, что только оно осведомлено о «персональной энтропии» пилота, о которой никто из посторонних не должен был знать. Израильтяне бросили вызов «персональной энтропии», которая по существу является разделяемым ключом. Тем самым они создали предпосылку для манеры поведения, которая нарушила стандартную процедуру защиты. (Вообще, чем более разрушительным является запрос, тем более высоким должен быть уровень аутентификации, иначе любой может оказаться опасным. Для получения прав суперпользователя должны быть запрошены наиболее полные подтверждения легитимности пользователя.) Пилот был обманут. В этот день израильская разведка вернула на нем все потраченные на нее деньги. Рассмотренные методы доступа к пилоту были совершенны и основаны на звуковой речи. Что пилот мог сделать? Он мог бы потребовать, чтобы с ним по рации переговорила его жена, но ее голос мог быть заранее записан на магнитофон. Будучи достаточно подозрительным, он мог бы потребовать, чтобы его жена затронула тему, о которой могли знать только они вдвоем. В этом случае пилот и его жена могли знать, что голос легко узнать, но его трудно подделать, а тайны брака являются чем-то, что не является общедоступным даже случайно.

В конце концов, обман (атака спуфинга) удался и имел огромные последствия.

Возможность фальсификации идентификационных данных имеет огромное методологическое значение, если по разным причинам многое зависит от того, кому доверяют, а фальсификация гарантирует получение к нему доступа. Атака типа грубой силы могла бы вывести радиостанцию пилота из строя и не позволить ему получать легитимные приказы, а эквивалент атаки переполнения буфера мог бы (скорее всего, вряд ли) напугать пилота или вынудить его дезертировать. Спуфинг позволил устранить угрозу для Израиля.

Утонченные фальсификации и экономический саботаж

Основное различие между фальсификацией и использованием уязвимости следующее. Использование уязвимости извлекает пользу из различия между тем, что есть на самом деле, и тем, что только кажется. А фальсификация извлекает пользу из разницы между тем, что кто-то что-то посылает, и тем, кто маскируется под отправителя сообщения. Это различие имеет большое значение, потому что наиболее мерзкие атаки фальсификации основаны на маскировке не только злоумышленника, но и самого факта атаки.

Если пользователи не знают, что стали жертвой атаки злоумышленника, то они обвиняют администраторов в некомпетентности. Если и администраторы ничего не знали об атаке, то они обвиняют производителей... Возможно, что дальше читатель продолжит самостоятельно.

Лестью ничего не достичь Это не только гипотетическая дискуссия. В 1991 году Microsoft была вынуждена реагировать на достижения операционной системы DR DOS, одного из удачливых клонов операционной системы MS DOS, которая серьезна подрывала позиции компании Microsoft. Грэм Леа (Graham Lea) из популярной технической бульварной малоформатной газеты The Register в прошлом году написал следующее (текст статьи можно найти по адресу www.theregister.co.uk/991105-000023.html. Статья доступна в кэше Google. На сайте издательства архив издания The Register за 1999 год ныне недоступен из-за реакции Microsoft на популярность операционной системы DR DOS):

«30 сентября 1991 года Дэвид Кол (David Cole) и Фил Барретт (Phil Barrett) обменялись электронной почтой, в которой говорилось: „Совершенно ясно, что следует обеспечить возможность запуска Windows 3.1 только под управлением MS DOS или ее OEM версии “ и, далее, „ следует использовать подход, который позволит обнаружить версию dr б и отказать ей в загрузке Windows 3.1. При этом должно выдаваться сообщение типа „Недопустимый интерфейс драйвера устройства (Invalid device driver interface)

У компании Microsoft было несколько способов обнаружения и саботирования использования операционной системы DR-DOS, пытающейся загрузить Windows. Один из них был реализован в программном коде под именем Bambi. Этот код был написан Microsoft для утилиты организации дискового кэша SMARTDRV, которая после определения выполняющейся DR-DOS отказывалась загружать Windows 3.1. Также хорошо известна уловка, использовавшаяся в коде AARD, но в настоящее время Caldera занята разбирательством четырех других известных случаев преднамеренной несовместимости программных продуктов. Одно из них связано с версией XMS в программе установки Windows 3.1, которая выдавала сообщение «Установленный вами драйвер XMS несовместим с Windows. Следует удалить его прежде, чем программа установки сможет продолжить инсталляцию Windows». Конечно, для подобной деятельности у компании Microsoft не было никаких оснований.

Возможно, основания все-таки были. Бывший администратор Microsoft Брад Силверберг (Brad Silverberg) достаточно откровенно привел их: «Как вы думаете, что должен делать чувствующий дискомфорт пользователь, если он обнаруживает ошибки, подозревая при этом, что их причиной является DR-DOS? Он идет и покупает MS-DOS. Или решает не рисковать при покупке других машин в офис».

Компания Microsoft действовала явно, открыто давая понять о своем желании помешать совместной работе графической оболочки Windows и операционной системы DR-DOS (действительно, было итоговое сообщение AOL о совместной работе клиентов Instant Messenger). Но поскольку это могло привести к недовольству слишком большого числа пользователей, то они изменили тактику своих действий. Конечно, определенное давление со стороны клиентов вынудило бы Microsoft смягчить свою политику в отношении операционной системы DR-DOS, но реакции пользователей все равно не оказалось бы достаточной для обеспечения совместной работы DR-DOS и Windows. В конечном счете производитель DR-DOS утратил доверие на рынке компьютерных программ и ушел с него в соответствии с планом Microsoft.

Что позволило случиться этому? Прежде всего точным оказался злонамеренный расчет. Прямой отказ компании Microsoft поддержать выполнение операционной системой DR-DOS своих функций мог бы вызвать ряд серьезных вопросов, суть которых сводилась к следующему: каким образом две столь похожие друг на друга системы, как DR-DOS и MS-DOS, в конечном итоге оказались столь несовместимыми? Поэтому компания Microsoft приняла блестящее решение: прямо не отказывая DR-DOS в поддержке, представить DR-DOS невразумительной и ненадежной программой, недостойной претендовать на роль настоящей операционной системы. Действуя таким образом, Microsoft смогла обратить в свою пользу все выдвинутые против компании обвинения в бесстыдстве и завышенной стоимости своих продуктов, переложив ответственность на чужие плечи, причем сделано это было вовсе не для обширных исследований Caldera, которая в конечном счете купила DR-DOS. Информация на этот счет до сих пор не увидела свет. Это была блестящая победа.

Всюду поможет тонкость расчета

Случай с компанией Microsoft предоставил превосходную возможность проникнуть в суть экономически мотивированного саботажа и увидеть его проявления. Распределенные приложения и системы, как, например, информационно-справочные системы продажи билетов, очень трудно проектировать с соблюдением требований масштабируемости. Часто страдает стабильность их работы. Из-за чрезвычайных последствий выхода из строя подобных систем они должны быть проверены на способность противостоять скрытым и недоказуемым атакам, ставящим перед собой цель нарушить стабильность и безопасность систем, которые намериваются эксплуатировать, продавать или администрировать. Успех проверки определяется способностью системы к самообороне. Предположение, что пользователь всегда сможет отличить активную атаку от повседневных отказов систем, по меньшей степени является ложным, если не сказать больше.

Конечно, можно впасть в другую крайность и во всем подозревать злонамеренный умысел нападающих! Документально зарегистрировано более чем достаточно случаев, когда большие компании обвиняли в непонятных простоях мифических и удобных для них злоумышленников. (Фактическая причина отказов? Отсутствие плана действий при непредвиденных обстоятельствах, если обновление не было выполнено так, как надо.)

В некотором смысле это проблема обнаружения сигнала. Очевидные атаки легко обнаружить, но угроза тонкого искажения данных (которая, конечно, в общем случае при резервном копировании данных сохраняется, и поэтому для ее обнаружения требуется время) вынуждают поднять порог чувствительности намного выше. Фактически настолько высоко, что ложные атаки становятся реальностью. Компьютер потерял «нюх»? Стало ли причиной неприятностей то, что никогда не было введено (ошибка пользователя), некорректно представлено (ошибка клиента), неправильно записано (ошибка сервера), изменено или искажено при передаче по сети (сетевая ошибка, встречается разумно редко), или это результат активного и злонамеренного вмешательства?

Злоумышленник, атакуя встроенные в системы средства идентификации и обслуживающий их персонал, сможет нанести инфраструктуре больший ущерб, чем это смогла бы сделать система самостоятельно. При этом злоумышленник может привести инфраструктуру в нерабочее состояние в интересах тех, кто из этого извлечет наибольшую прибыль. Современная реальность такова, что злоумышленнику сравнительно легко удается избежать наказания, потому что сегодня удивительно много людей готовы рискнуть своей работой и производительностью в новой национальной лотерее.

Отказ для выборочного восстановления Одним из наиболее общепринятых принципов построения компьютерных сетей является их последовательность. Компьютерные сети работают по ярко выраженным детерминированным законам, и проблемы в них возникают или постоянно, или их нет совсем. Поэтому приводит в бешенство тестирование ошибки, возникающей периодически каждые две недели, каждые 50 ООО ± 3000 транзакций и т. д. Такие ошибки могут формировать в компьютерных сетях что-то похожее на взрывы гамма-лучей, превосходя по своему значению основные события в мире сетей. Периодические ошибки происходят так редко и проявляются в течение такого короткого периода времени, что трудно получить нужный протокол работы ядра или отладочную трассировку в момент ошибки.

Принимая во внимание незначительную вероятность возникновения неустойчивых отказов в современных компьютерных системах (в большей или меньшей степени подчиняющихся ярко выраженным детерминированным законам), неудивительно, что фальсифицированные отказы происходят вроде как случайно, как будто кто-то «икает» в сети, и входят в число наиболее эффективных атак на сеть.

Впервые автор прочитал об использовании управляемых отказов как о средстве хирургического влияния на поведение жертвы в документе, посвященном дискуссии RProcess о выборе DoS. Документ находится по адресу www.mail-archive.com/coderpunks%40toad.com/msg01885.html. Rprocess отметил следующую чрезвычайно жизнеспособную методологию влияния на поведение пользователя, а также последующий эффект, который имеет отношение к криптографической защите:

«Выборочно проанализировав отказы в обслуживании, автор обращает внимание на потенциальную возможность запрета или прекращения передачи некоторых видов или типов сообщений с одновременным разрешением других. Если это аккуратно сделать и, возможно, при этом воспользоваться скомпрометированными ключами, то в результате это может быть использовано для запрещения использования некоторых типов сервисов с одновременным поощрением использования других.

Например, пользователь X пытается создать учетную запись пут (учетную запись, содержащую данные идентификации для обеспечения анонимности соединений электронной почты), повторно используя отравителей К и В. Не получилось. Он еще раз создает учетную запись пут, используя отправителей К и С. Это работает, поэтому он использует только что созданную учетную запись. Таким образом, пользователь X выбрал отправителя С и отказался от услуг отправителя В. Если злоумышленник вынудит отправителей А и С обменяться почтой или у него окажутся их ключи, но при этом он не сможет скомпрометировать В, то он может добиться того, что пользователи будут использовать отправителей К и С, саботируя сообщения В. Для этого ему надо разрешить обмен с отправителем А и отказаться от некоторых сообщений, связанных с В. Или он может добиться этого, извне прерывая соединение с В».

Злоумышленник, используя уязвимость одного из слабых мест системы, добивается того, что пользователи стекаются к провайдеру, который с их точки зрения менее уязвим и более стабилен. В этом заключается суть обмана. Заставьте людей думать, что они что-либо делают только потому, что они хотят это делать. Автор уже говорил ранее, что реклама - это социальная инженерия. Простой пропуск каждого сообщения выбранного вида привел бы к предсказуемости и очевидности. Однако понижение надежности, особенно в Интернете, предоставляющем максимум возможностей с одновременным освобождением от всякой ответственности, гарантирует сетевым администраторам замаскированные и недоказуемые ошибки в работе сети и подталкивает пользователей к использованию более стабильного с их точки зрения (но тайно скомпрометированного) сервера / сервиса провайдера.

Примечание

RProcess завершил реинжиниринг Traffic Analysis Capabilities правительственных организаций. Результаты реинжиниринга расположены по адресу http://cryptome.org/tac-rp.htm. Было выяснено, что Traffic Analysis Capabilities основан на предположении, что чем сложнее для организаций было взломать сервис, тем менее вероятно, что они разрешат ему остаться. Этот результат следует воспринять с некоторой долей скепсиса, но, как и большинство других материалов Cryptome, с ним стоит ознакомиться.

Приманка и переключатель: фальсификация использования SSL Если читателю интересно, то пусть он попытается выяснить, на чем основана уверенность пользователя в том, что он подключился к Web-сайту при помощи протокола SSL? Это не праздный вопрос. Большинство передаваемых по протоколу HTTP данных в любом случае передаются в открытом виде. По каким признакам пользователь сможет определить, поддерживает или не поддерживает шифрование и удостоверение данных при помощи протокола SSL один Web-сайт из сотни других?

Обычно браузер сообщает пользователю об использовании протокола SSL при помощи нескольких драгоценных пикселов на экране монитора:

• значка «блокировки» в строке состояний;

• адресной строки, в которой содержится ссылка на запрашиваемый сайт и буква 5 после названия протокола http;

• иногда всплывающего диалогового окна, информирующего пользователя о входе в безопасную зону или выходе из нее.

Проблема заключается в том, что делается попытка установить подлинность массива пикселов по совпадению с тем, что описано в протоколе HTML, формате JPEG и других протоколах уровня представления, использующих протокол SSL. Но в действительности пользователь не знает, что было послано по сети. Вместо этого он доверяет браузеру оповестить его об использовании криптографии. Но как браузер сможет это сделать? При помощи массива пикселей.

Подтверждение подлинности одного набора образов с другим происходит в предположении, что один из них никогда не содержится в другом. Это неверно, и об этом свидетельствует рис. 12.2, расположенный по адресу www.doxpara.com/popup_ie.html.

Заверена ли подлинность всплывающего объявления по протоколу SSL?

Рис. 12.2. Заверена ли подлинность всплывающего объявления по протоколу SSL?

XI0, позорно известный спаммер псевдопорнографических окон, на самом деле не имеет никакого отношения к этому окну, не говоря уже об использовании протокола SSL для подтверждения его подлинности. Но насколько известно, эта экранная форма не только прибыла с X10.com, но и была еще заверена как страница, прибывшая оттуда. Как была создана эта страница? Давайте начнем с рассмотрения ее описания на языке разметки HTML:

[root@fire doxpara]# cat popup_ie.html <HTML>
<HEAD>

<script type=“text/javascript”><!-function popup() { window. open(“http ://www. doxpara. com/x 10/ webcache.html?site=https://www.x 10. com/hotnewsal e/ webaccessid=xyqxl412&netlocation=241&block=121&pid=811

22&&sid= Г, ’ Y width=725,height=340,resizable= 1 ,menubar= 1 ,toolbar= 1, stat

usbar=0,location=l,directories=lY);
}
//-></script>
</HEAD>
<BODY BGCOLOR=“black” onLoad=“popup()”>
<FONT FACE=“courier” COLOR=“white”>
<CENTER>
<IMG SRC=“doxpara_bw_rs.gif’>
<BR><BR>
Please Hold: Spoofing SSL Takes A Moment.
Activating Spam Subversion System...
</BODY>
</HTML>

Описание страницы начинается с определения функции JavaScript по имени popupQ. Эта функция сначала выводит новое окно, используя основные возможности JavaScript. Затем она удаляет из нового окна строку состояния, что является необходимым, поскольку планируется заменить ее своей строкой состояния. И наконец, функция определяет фиксированный размер окна и использует чисто хакерский прием для заполнения строки адреса любой правдоподобной информацией, которая маскирует злоумышленника. После загрузки страницы эта функция будет тут же выполнена со всеми вытекающими отсюда последствиями. В следующей секции будет показано, насколько эффективна эта функция.

Приоткрывая завесу

Совершенная передовая секретность: маленький секрет протокола ssl | Защита от хакеров корпоративных сетей | Прелести монокультуры: темные стороны работы в ie web


Защита от хакеров корпоративных сетей



Новости за месяц

  • Июль
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс