рекогносцировка на небоскребе

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-058-6

Механизм именованных каналов тесно связан со столь горячо любимым в Microsoft механизмом удаленного вызова процедур Remote Procedure Call или, сокращенно, RPC, через который распространялся MSBlast и другие черви подобного типа. В Висте до сих пор сохранилась возможность определять список доступных интерфейсов и вызывать некоторые из них (ServerAlive2, OXIDResolver, etc), и все это - безо всякой авторизации!

[глобализация ARP.]

В локальных Ethernet-сетях на физическом уровне используется MAC-адресация, поверх которой натягивается TCP/IP, использующий IP-адресацию. В результате чего, каждый узел имеет как минимум один MAC-адрес и один IP-адрес, которые никак не связаны с друг другом, и чтобы отправленный пакет дошел до места назначения, марштутизатору необходимо иметь таблицу соответствия IP- и MAC-адресов, которая динамически создается при помощи протокола ARP. Грубо говоря, в сеть посылается широковещательный запрос: «Обладатель такого-то IP, сообщите своей MAC-адрес!». Никакой аутентификации при этом не производится, и присвоить себе чужой IP — плевое дело. Атаки такого типа давно изучены и подобно описаны. Хакер может: разрывать TCP-/IP-соединения, установленные жертвой, перехватывать трафик, выдавать себя за другой узел и прочее. Но все это — строго в рамках локальной сети, причем предыдущие версии Windows, обнаружив, что хакер захватил их IP-адрес, выплевывали на экран предупреждение. Виста же просто отмечает этот факт в системном журнале и... прекращает реагировать на сетевые запросы.

Но внутрисетевые атаки - это еще куда ни шло. Существует масса способов вычислить злоумышленника, подняв по тревоге бригаду каратистов быстрого реагирования, доходчиво объясняющих незадачливому хакеру, что лучше уйти по-хорошему, чем всю жизнь работать на больницу. Заботясь о пользователях, тьфу, о хакерах, Microsoft добавила новый протокол для разрешения адресов — Neighbor Discovery или сокращенно ND, доступный извне локальной сети. И хотя реализация удаленной атаки сопряжена с рядом трудностей, она все-таки осуществима! Система уязвима только во время так называемой probe-фазы, в течение которой происходит ожидание отклика от «соседних» (neighbor) узлов. Все остальное время поддельные пакеты, посланные злоумышленником, игнорируются. Однако, учитывая значительную продолжительность probe-фазы, а так же ее высокую периодичность, хакеру даже не понадобится запасаться терпением! Ну, разве за пивом сгонять, пока его компьютер методично бомбардирует жертву запросами.

Трудность номер два: ND-пакет содержит специальный счетчик, начальное значение которого равно 255, и при пересылке через каждый узел оно уменьшается на единицу, таким образом, атакующий должен находиться достаточно близко от жертвы. «Близко», естественно, не в географическом смысле. Атаковать американские компьютеры из российской глубинки вполне реально. А там попробуй найти Васю Пупкина из деревни Нью Васюки!

[идентификация сетевого стека висты.]

Сетевой стек всякой операционной системы имеет свои особенности реализации (они же «fingerprint» — отпечатки пальцев), позволяющие идентифицировать жертву, что значительно упрощает атаку, поскольку хакер заранее знает, какие дыры там есть и какие действия предпринимать.