Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

рекогносцировка на небоскребе

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-058-1


ГЛУБИНЫ И ВЕРШИНЫ СЕТЕВОГО СТЕКА ВИСТЫ

СЕТЕВОЙ СТЕК ВИСТЫ БЫЛ ПЕРЕПИСАН С ЧИСТОГО ЛИСТА. О ЛУЧШЕМ ПОДАРКЕ ОТ MICROSOFT ХАКЕРЫ НЕ МОГЛИ И МЕЧТАТЬ! РАЗ НОВЫЙ — ЗНАЧИТ, ЕЩЕ СЫРОЙ И НЕ ПРОТЕСТИРОВАННЫЙ. АНАЛИЗИРУЯ РАННИЕ БЕТА-ВЕРСИИ ВИСТЫ, ИССЛЕДОВАТЕЛЬСКАЯ ЛАБОРАТОРИЯ КОРПОРАЦИИ SYMANTEC ОБНАРУЖИЛА ОГРОМНОЕ КОЛИЧЕСТВО ДЫР, ЧТО УЖЕ УКАЗЫВАЕТ НА КРОМЕШНОЕ КАЧЕСТВО КОДИРОВАНИЯ. СКОЛЬКО «СЮРПРИЗОВ» ТАИТСЯ ВНУТРИ ЭТОЙ ТВАРИ, НИКТО НЕ ЗНАЕТ, А, ЗНАЧИТ, ХАКЕРАМ БУДЕТ ВО ЧТО ВОНЗИТЬ ЗУБЫ

Устав латать старый сетевой стек, доставшийся ей в наследство еще от NT, команда разработчиков Висты решила, что, переписав его с нуля, она достигнет выдающегося уровня безопасности, попутно повысив производительность и реализовав ряд дополнительных фич. Весьма нехилое решение, надо сказать. Сетевой стек - это грандиозное сооружение, к проектированию которого нужно подходить с головой, а умных людей в Microsoft с каждым годом становится все меньше и меньше. Печально, но факт, бесспорным доказательством которого служит новый сетевой стек, повторяющий ошибки десятилетней давности и добавляющий к ним целое полчище новых, многие из которых гнездятся на концептуальном уровне, и будут исправлены нескоро (если будут исправлены вообще).

Вопреки всем заверениям Microsoft, сетевой стек Висты намного менее надежен и безопасен, чем в XP, к тому же он совершенно не изучен и абсолютно непредсказуем. У администраторов нет опыта решения проблем, с которыми они прежде не сталкивались, разработчики защитных компонентов (от программных брандмауэров до аппаратных комплексов) еще не включили поддержку Висты и ее протоколов в свои продукты.

Во времена NT, когда ядро и прилегающие к нему компоненты не менялись раз в квартал, существовали сетевые стеки от сторонних производителей и, между прочим, неплохо работали, успешно конкурируя с Microsoft, но теперь «политическая» ситуация изменилась, и у нас остался только один путь — Microsoft way, ведущий непосредственно в Hell. Только плазмагана там не будет, и от хакеров придется обороняться разве что кулаком да кастетом.

Сетевой стек тесно интегрирован с ОСью, и «отодрать» его, вернув старый стек на место, никакой возможности нет. Нам предлагают множество новых компонентов, причем это предложение из разряда тех, от которого невозможно отказаться — ведь ни отключить, ни заблокировать ненужные фичи все равно нельзя. То есть можно, конечно, но отнюдь не через графический интерфейс, и большинство пользователей этого сделать не сможет, а, значит, черви, хакеры и удаленные атаки будут процветать.

[что нового в сетевом стеке висты.]

Главным и, пожалуй, единственным достижением Microsoft'а стала интеграция IPv4 и IPv6 в единый стек (до этого они были реализованы как раздельные компоненты), что и плохо, и хорошо одновременно. Хорошо то, что конечный пользователь получает готовый IPv6 без всякой головой боли и установки дополнительных пакетов. Катастрофическая нехватка IP-адресов с каждым сезоном ощущается все острее и острее, но переход на IPv6 сдерживается как необходимостью смены сетевого оборудования, так и обновлением серверных и клиентских ОСей. В исторической перспективе переход на IPv6 неизбежен. Это ясно всем, но почему же нельзя реализовать его поддержку опционально, как это сделано во всех «правильных» системах, в той же xBSD, например?

Содержание  Вперед на стр. 072-058-2