С 16го по 20е июня 2003 года на сервере irc.uninet.edu
проходил второй конгресс, посвященный информационной безопасности «II Information Security Congress at UniNet».

Что же волнует «безопасников»? Какие угрозы информационной безопасности не дают им спать ночами, заставляют в ужасе вскрикивать и бежать за очередной бутылкой пива и, забыв про прелести подруг, жаждущих любви, давить и давить кнопки на давно прохудившейся клавиатуре?
Судя по представленной программе докладов
пуще всего этих, страдающей летаргической паранойей людей, беспокоят вирусы, спам, обнаружение атак и, как не забавно – протокол IPv6. Конечно, TCP/IP v 4 со своими SYN’ами PING’ами и прочим достал уже всех, и пора бы его тихонько забывать… Но косность и консерватизм человеческий в ближайшие лет пять, а то и побольше, будет тянуть в будущее этот анахронизм, так же, как тянули и тянут Ethernet. Вот если бы Cisco отказалась от поддержки IPv4 в свежих IOSах, или Microsoft заявил, что Windows PR/2006/Mega сервер не работает в сетях со старьем, а если кому надо, пускай драйверы у левых производителей покупает, мол наш тех. упор про них ничего не знает и не хочет… Вот тогда бы пришлось пошевелиться народу. Хотя оно вряд ли.
Что-то я расчувствовалась. И так, собственно говоря, контент, т.е. обзор выступлений. 

Открыл конгресс Javier Fern?ndez-Sanguino, активный разработчик Debian GNU/Linux, работник департамента безопасности Germinus XXI и проча и проча.
Мегаотец поделился с нами своими соображениями о системах обнаружения атак уровня узла в *nix системах. Чем они отличаются от привычных систем обнаружения атак сетевого уровня, типа любимого в народе snort’a? В основном источником данных. Если NIDS получает на вход данные всего сетевого сегмента, и пытается на основе сигнатур или поиска аномалий определить «хороший» это пакет или «плохой», то HIDS анализирует действия пользователя, журналы различных приложений, целостность критичных данных и т.д., для того что бы вовремя определить, что ваш компьютер пытались взломать. Или взломали, если все у них прошло хорошо. В качестве бесплатных решений докладчик предлагает использовать tripware или samhine для контроля целостности данных, программы автоматизированного контроля журналов безопасности (logcheck, portsentry, hostsentry) и chkrootkit для обнаружения нехороших троянцев «ядерного» уровня. Кроме того, докладчик рассказал о двух проектах: «Tiger» и распределенной сетевой системе обнаружения атак (это когда каждый хост контролирует только свой трафик и отчитывается о злых хацкерах перед центральным узлом) «Prelude».
В общем, если вдруг захочешь построить на своем линухе IDS – прочти этот доклад, возможно это сэкономит тебе время. 

Следующим выступил Jose Earned, ботаник. Как настоящего ботаника, его заинтересовали червячки и прочие букашки, так любящие в последнее время погрызть все, что под руку попадется. И вместо того, что бы плодить это достойное племя, Джос задался целью обнаружить и извести их повсеместно.
Что же такого интересного можно сделать в области, где трудятся такие гиганты мысли как мр. Касперский и компания? Оказывается, обнаружение вирусов по сигнатурам далеко не лучший способ с новыми вирусами (хех, да не может быть), поскольку эту сигнатуру надо сначала написать, а потом еще и к антивирусу прикрутить. А что же делать, ежели злобный червь уже залез в твою сетку и рыщет по узлам, пытаясь обнаружить беззащитные IIS, Apach, или просто открытую на запись папку?
Слушать и анализировать объем трафика в сети, авторитетно заявляет доктор ботанических наук. И ежели объем трафика вдруг становиться таким, что в Quake играть уже невозможно, то, скорее всего, это не генеральный директор опять отправил по почте новый фильм в переводе Гоблина, а коварный червь точит устои общества. А еще лучше выделить сеточку отдельную, в которые нормальные люди не ходят, поскольку там ни портнухи, ни mp3, ни анекдотов не лежит, и слушать – а вдруг кто сунется. И ежели да – то хвать за лапу и к терапевту. Вирус то он тупит – не врубается, что сетка подставная и лезет туда, глупышка.
В общем, получаем еще одну сетевую систему обнаружения атак, основанную на анализе аномалий.
Clap-clap-clap.

Далее речь держал Seth Arnold, работающий в компании Immunix, Inc, продающий супер-мега-гипер-безопасный дистрибутив Линукса под кодовым названием Immunix. Сет рассказал о новой фиче, которую они прикрутили к своему дистрибутиву — CryptoMark2. Фенечка позволяет подписывать электрической числовой печатью исполняемые файлы, и контролировать их запуск на случай какого вируса или трояна. Т.е. если вредный червь заражает полезный файл q3arena, и мы в перерыве на обед пытаемся его запустить, ядро операционки считает его md5 хэш, и сравнивает с тем, что пописано у него в теле. Поскольку вирус подпортил код, то хэш у нас не сойдется, следовательно, программа не запустится. Вещь конечно полезная и интересная, но встает один вопрос, кто будет эти файлы подписывать? Вспомним Windows 2000 – она ведь бедная до сих пор в истерике бьется, когда свежий детонатор, т.е. неподписанный драйвер устройства ставить пытаешься, а тут не драйвер – все исполняемые файлы подписывать надо. А если учесть скорость их модификации в *nux системах, это надо целый Linux Software Compatibility Lab делать. Хотя, в принципе, в пределах одного дистрибутива может сработать. И если вспомнить последние трояны в дистрибутивах sendmail’a и других полезных программ… Все, согласна – вещь нужная и полезная. Браво, Сет.

Далее Oscar E. Ruiz Berm?dez попытался подвести под научную базу White Hat. Или говоря по научному – аудит безопасности вычислительных сетей. Ничего в его докладе я не поняла, и как только начались сказки о добре и зле, заснула на клавиатуре. Разбудил судорожно пытающийся реконектиться модем, отвалившийся по idle. 

Третий день открыл Jose Earned, ботаник. На этот раз его острый ум коснулся проблемы невостребованной электрической почты, а проще говоря – спама. Он проанализировал заголовки 75000 спамерских писем и попытался обнаружить, откуда они идут. В докладе много интересных картинок, однако, выводы мне мало устраивают. Джос обнаружил, что большая часть спама идет через несколько серверов, и предлагает порезать их трафик. Как только спамеры пронюхают о таком методе борьбы с ними, они начнут писать по 128 заголовков Recived (что и сейчас многие делают) до того, как кинуть письмо через прокси, который по mx записям их непосредственно на почтовик доставит и пойди, найди концы. Не решается проблема спама техническими средствами в существующей системе электрической почты! Все, вопрос закрыт.

Далее на трибуны вышли два российских атлета – offtopic и 3apa3a. Точнее 3apa3a был в оффлайне, но его дух витал в сети. Ребят тоже достали вирусы и другой неполезный софт, гуляющий по корпоративным сетям и пытающийся вывезти коммерческие секреты компании в интернет через клиентское ПО. Что бы не запариваться с антивирусами, системами фильтрации содержимого и другими сложными штуками, было предложено просто вынести весь клиентский доступ в демилитаризованную зону и не пущать вовнутрь. А если кому надо в Инет, так что аж поджилки трясутся, то пускай терминальным клиентом пользуются. Слава богу, под него троянов пока нет. Хотя, я думаю, это дело времени :-). 

Завершил день Ismael Briones, рассказав о том, как можно побаловаться с IPv6 дома. В принципе – степ-бай-степ описание настройки IPv6 в Linux и информация о использования туннелей IPv6->IPv4. Но все-таки страшная вещь – шестая адресация. Я так и представляю себе двух админов, лениво так между собой переговаривающимися: «Слушай, а в той сетке какой сервер DNS fe80::205:1cff:fe06:1d6a или fe80::205:1cff:fe06:1d6f???»
Когда я слушала (смотрела) презентацию Arrigo Triulzi, инструктора института SANS, посвященную основам IPv6 и IDS, со мной случилось видение. 

Представьте себе сеть великого будущего, у каждого есть цифровой сертификат, где битами по несущей прописано, что выдан он такому-то хосту на осуществление такой-то деятельности. И цепляется это хост к нашему почтовику, и говорит – хочу я, значит, почту через тебя отправить, то бишь мыло сендануть. А мы ему в ответ – и где твой сертификат, а? Он сертификат предъявляет, мы смотрим – кем подписан, ага, IANA. Адрес совпадает? Ну, соединяйся, значит. А что за почта? Сообщение от vasa@pupkin.net? А ну, погоди… У тебя в сертификате право на то, что бы отсылать почту из домена pupkin.net присутствует? Ага, вижу. Давай сюда письмо. Ну-ка, ну-ка. А письмо – то не Васей Пупкиным подписано, а черт его знает кем! А ну – брысь отсюда, спамер чертов! 

Проснулась я со словами «Microsoft Passport» и «PKI» на устах. Черт, неужели от
tinkoff?

Оставить мнение

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…