Библиотека Интернет Индустрии I2R.ru

Новый инструмент, манипулирующий пакетами данных, позволяет злоумышленникам маскировать свои программы таким образом, что их не смогут засечь многие системы обнаружения проникновений и межсетевые экраны.

Инструмент, называемый Fragroute, использует несколько методов обмана систем распознавания атак на основе сигнатур, применяемых многими системами обнаружения проникновений и межсетевыми экранами. Большинство этих методов было описано в научной работе, опубликованной четыре года назад.

На прошедшей неделе специалист по безопасности компании Arbor Networks Дуг Сонг (Dug Song) выложил Fragroute на свой веб-сайт. <(Некоторые) брандмауэры, средства предотвращения проникновений и другие системы, фильтрования контента, действующие на прикладном уровне, имеют сходные уязвимые места, которые при помощи Fragroute легко обнаружить>, - говорится в постинге Сонга в списке рассылки Bugtraq.

Новый инструмент опрокидывает баланс сил в <гонке вооружений> между взломщиками сетей и их защитниками - по крайней мере на время. Любой брандмауэр или система обнаружения проникновений, в которой Fragroute найдет слабину, становится уязвимой для атак вандалов. Fragroute - программа двоякого действия: она выявляет слабые места сетевой защиты, выдавая информацию, которая системному администратору помогает защитить свою сеть, а хакеру - атаковать ее. Используя несколько методов введения специфических данных в содержание пакетов, Fragroute обманывает системы обнаружения. Эти методы изложены в опубликованной в январе 1998 года работе Томаса Птачека (Thomas Ptacek) и Тимоти Ньюшема (Timothy Newsham), специалистов компании Secure Networks, которую позднее купила Network Associates.

Программа обходит системы обнаружения проникновений, которые часто контролируют подлинность входных данных не так строго, как серверное ПО, обычно служащее мишенью для хакеров. Одним из вариантов таких <подсадных> атак является направляемая на сервер команда, в целях маскировки дополненная заведомо недозволенными данными. ПО защиты сервера отбрасывает эти данные, оставляя допустимую, но злонамеренную команду. Многие системы обнаружения проникновений не удаляют такие обрезки данных, поэтому враждебная команда остается в системе, не подвергаясь дальнейшему анализу.

Например, система обнаружения проникновений, которая следит за последними переполнениями буфера, может распознать атаку по тексту "http:///" в составе входных данных. Но если атакующий посылает текст "http://somegarbagehere/", зная, что атакуемый компьютер отбросит часть "somegarbagehere", этот текст останется на сервере, а система защиты может не распознать угрозы, если не отбросит ту же часть текста, что и сервер.

Марти Роуш (Marti Roesch), президент поставщика систем защиты SourceFire и создатель популярной open-source системы обнаружения вторжений Snort, утверждает, что его компания устранила большинство уязвимостей, эксплуатируемых Fragroute, а оставшиеся лазейки закроет на следующей неделе. <Дуг говорил мне об этих методах несколько месяцев назад, и я принял это к сведению>, - сказал он, добавив, что хотя он не предусмотрел защиту для каждого из методов атак, используемых Fragroute, сделать это не трудно: <В большинстве случаев для изготовления поправки достаточно 10 минут. Просто раньше об этом не подумали>.

Если Snort правильно сконфигурирован, многие из этих атак не сработают, но в конфигурации по умолчанию система не обнаруживает закамуфлированных данных, так как в противном случае она выдавала бы слишком много ложных сигналов тревоги. , - указывает в своем постинге Сонг, добавляя, что многие патентованные системы защиты также уязвимы.

Компания Security Systems, поставщик коммерческого ПО защиты, утверждает, что ее продукт RealSecure неуязвим для Fragroute. <Мы с самого начала решили проблемы фрагментации, когда ознакомились с той работой, - сказал руководитель группы исследований и разработок компании Дэн Ингевалдсон (Dan Ingevaldson). По его словам, на прошлой неделе Security Systems протестировала инструмент Сонга и убедилась в том, что предпринимаемые с его помощью атаки обнаруживаются.