Независимый эксперт по вопросам
информационной безопасности представил
новую программу для создания секретных
каналов для передачи данных, которые не
могут быть обнаружены большинством
защитных систем. Продукт эксперта Роберта
Мерфи, получивший название VoodooNet (или v00d00n3t),
использует способность большинства
компьютеров работать с протоколом IPv6. При
том, что современные сети работают в
стандарте IPv4, и многие приложения для
обеспечения безопасности не имеют
возможности контролировать данные,
передаваемые через IPv6.
«Большинство сетевого оборудования
способно только пропускать трафик.
Например, межсетевые экраны Windows не
фиксируют IPv6, поэтому пакеты с данными
через него проходят», — рассказал Мерфи.
Создатель VoodooNet воспользовался нехваткой
понимания того, какие стандарты к
безопасности должны существовать в сетях
следующего поколения. Федеральное
правительство США и многие крупные
корпорации намереваются перейти к IPv6 к
концу десятилетия. Министерство обороны
США и управление Белого дома по вопросам
бюджета и управления утверждают, что
ключевые службы начнут работу с IPv6 к 30 июня
2008 года.
Многие приложения для обеспечения
сетевой безопасности пока не работают с IPv6,
однако этот стандарт уже широко
поддерживается программным обеспечением
для маршрутизаторов. Linux, Mac и Windows XP
пропускают данные в стандарте IPv6, а в Windows
Vista он уже станет протоколом, используемым
по умолчанию.
Технологии для передачи данных всегда
представляют проблемы для менеджеров по
безопасности, считает Джо Клейн, сетевой
эксперт североамериканского подразделения
разработчиков IPv6.
VoodooNet использует для передачи пакетов
данных 6-ю версию протокола управления
сообщениями Internet (ICMPv6). При этом информация
скрывается без нарушения положений какого-либо
из существующих запросов комментариев (RFC)
— стандартов интернета. Каждый пакет имеет
адрес доставки и ключ, который определяет,
какой компьютер этим адресом является. При
самом секретном режиме пакет содержит 1
байт, однако число байтов в пакете может
быть увеличено до 32.
Клейн уверен, что такая связь не может
быть обнаружена современными устройствами,
работающими в стандарте IPv4. Это значит, что
секретная передача данных может быть
использована и ботнетами — сетями
зараженных компьютеров, централизованно
управляемых хакером. «Решение проблемы —
сетевые устройства, лучше понимающие IPv6.
Например, системы обнаружения вторжений,
полностью адаптированные к новому
протоколу», — считает Клейн. Клейн также
отметил на одну особенность системы,
которая позволяет обнаруживать любой
компьютер, участвующий в скрытной передаче
данных. Первая версия VoodooNet настраивает
принимающие компьютеры на «прослушивание»
канала для приема данных, отправленных в их
сеть.