tanenbaum_seti_all.pages (525408), страница 244
Текст из файла (страница 244)
В Я/М1МЕ нет жесткой иерархии сертификатов, отсутствует единый центр управления. Вместо этого пользователи могут работать с набором доверительных якорей. До тех пор, пока сертификат может быть проверен по доверительному якорю, он считается корректным. Система Я/М1МЕ использует стандартные алгоритмы и протоколы, которые мы уже рассматривали, поэтому на этом мы закончим ее обсуждение. Более подробную информацию вы найдете в КРС. Защита информации во Всемирной паутине Мы только что закончили изучение двух важных областей, в которых требуется зашита информации, — соединения и электронная почта.
Можно сказать, что это были аперитив и суп. Теперь же мы приступаем к главному блюлу: защите ин- 90«» Глава 8. Безопасность в сетях формации во Всемирной паутине. Именно в %%% работает большинство злоумышленников, делая свое грязное дело. В следующих разделах будут рассмотрены некоторые проблемы, относящиеся к безопасности в Паутине. Зту тему можно разделить на три части.
Первая связана с безопасным именованием обьектов и ресурсов. Вторая — с установлением аутентифицированных соединений. Третья — с тем, что случается, когда веб-сайт отправляет клиенту исполняемый код. После перечисления возможных опасностей мы рассмотрим все зти вопросы. Возможные опасности Практически каждую неделя> газеты публикуют статьи о проблемах безопасности во Всемирной паутине. Ситуация складывается действительно довольно мрачная. Посмотрим на некоторые примеры того, что уже имело место. Во-первых, мы помним, как домашние страницы многочисленных организаций самых разных масштабов подвергались атакам хакеров и заменялись подложными страницами.
(Термин «хакер» (Баскет) приобрел значение «взломщик» благодаря журналистам, которые мало что понимали в компьютерном мире, но попытались воспользоваться профессиональным жаргоном программистов. На самом же деле изначально хакерами пазывалн великих программистов. Взломщиков же мы и называем взломщиками (сгас!«ег).) В списке сайтов, которые удалось взломать, находятся такие, как Уапоо!, сайт Вооруженных сил США, ЦРУ, НАСА, а также Нея Уогк Тцпез. В большинстве случаев взломщики просто заменяли оригиналы на свои странички с каким-нибудь смешным (обычно издевательским) текстом, и уже через несколько часов сайты удавалось восстановить. Однако были и гораздо более серьезные атаки. Многие сайты были сломаны за счет искусственно созданной чрезмерной нагрузки (атака типа «отказ в обслуживании», РоЯ), с которой заведомо не может справиться сервер.
Зачастую такие нападения совершались сразу с нескольких машин, которые взломщику уже удалось сломать и заставить против воли участвовать в преступлении («распределенный РоЯ», РРо5). Такие атаки настолько распространены, что уже перестали быть новостью. Тем не менее, ущерб от них исчисляется тысячами долларов. В 1999 году шведский взломщик проник на сайт Ногша11 (корпорации М1сгозо11) и создал зеркало, на котором все желающие могли ввести имя любого пользователя этого сайта и прочесть всю его текущую почту и почтовые архивы. А один русский 19-летний взломщик по имени Максим смог украсть с сайта, посвященного электронной коммерции, номера 300 000 кредитных карт, Затем он обратился к их владельцам и сообщил, что если они нс заплатят ему 100 000 долларов, он опубликует номера кредиток в Интернете. Они не поддались на провокацию, и тогда он действительно опубликовал номера кредитных карт, что нанесло серьезный ущерб невинным жертвам.
23-летний студент нз Калифорнии послал по электронной почте в агентство новостей фальшивый пресс-релиз, в котором сообщалось об огромных убытках корпорации Елш!ех и об уходе в отставку ее генерального директора. Спустя не- Защита информации во Всемирной паутине 909 сколько часов биржевые цены на акции Епш1ех снизились на 60 Ж, в результате чего их держатели лишились более 2 миллиардов долларов, Злоумышленник заработал около четверти миллиона долларов, продав акции незадолго до своего ложного заявления. Хотя в данном случае взлом не произошел непосредственно во Всемирной паутине, понятно, что объявление подобного рода, размещенное на сайте компании, привело бы к такому же эффекту.
К сожалению, одно перечисление таких примеров могло бы занять несколько страниц. И теперь нам пора обратиться к технической стороне дела, Более подробную информацию, касающуюся проблем безопасности всех видов, см. в (Апг)сгзоп, 2001; Саг(1пке! и Бра(Гогд, 2002; Бс11пе(ег, 2000). Поиск в Интернете также даст неплохие результаты. Безопасное именование ресурсов Начнем с чего-нибудь очень простого.
Допустим, Алиса хочет посетить всб-сайт Боба. Она набирает в браузерс УВЕ., н через несколько секунд появляется страничка, Но в самом ли дслс эта страничка создана Бобом? Может, да, а может, нет. Не исключено, что Труди снова принялась за свои шуточки. Например, она могла перехватить исходящие от Ллисы пакеты и изучить их.
Найдя запрос СБТ на получение страницы Боба, Труди могла сама зайти на эту страницу, изменить ес н отослать Алисе. Ллиса нс заметила бы ровным счетом ничего. Хуже того, Труди могла изменить цены на акции на более низкие, сделав тем самым предложение Боба очень привлекательным. Вероятность того, что тенерь Ллнса вышлет номер своей кредитной карты «Бобу» (с целью приобрести акции но выгодной цспс), резко повысилась. Одним из недостатков схемы «человек посередине» является то, что Труди должна быть в состоянии перехватывать исходящий трафик Ллисы и подделывать свой исходящий трафик.
На практике она должна прослушивать телефонную линию либо Боба, либо Алисы (поскольку прослушивание оптоволоконного кабеля — задача непростая). Это, конечно, возможно, но Труди не только умна и хитра, но и ленина. Она знает более простые способы обмануть Ллису. Обман Юйв Допустим, Труди может взломать систему РМЯ (например, ту се часть, которая хранится в кэшс Г)ЛБ у провайдера Алисы) и заменить 1Р-алрсс Боба (например 36.1.2.3) своим 1Р-адресом (например, 42.9.9.9).
Тогда можно провести атаку. То, как все должно работать в нормальной ситуации, показано на рис. 8А2, ш 1) Алиса запрашивает у службы Г)Ю 1Р-адрес Боба; 2) получает его; 3) она запрашивает домашшою страничку Боба; 4) получает ее. После того как Труди заменяет 1Р-адрес Боба на свой собственный, мы получаем ситуацию, показанную на рис. 8А2, б. Алиса ищет 1Р-адрес Боба, а получает вместо него 1Р-адрес злоумышленницы Труди, поэтому весь трафик Алисы, предназначенный для Боба, приходит, на самом деле, Труди. Та может организовать атаку типа «человек посередине», не мучаясь с установкой «крокодилов» на телефонной линии Алисы. Вместо этого она может заменить всего одну запись на сервере имен РЛЕЯ. Это, согласитесь, более просто. 910 Глава 8.
Безопасность в сетях ввр мщика) .9 саравр 36.1.2.3) б 1. Мне нужен )Р-адрес Бобе 2 42,9.9.9 (!Р-адрес ТРУНИ) 3, ОЕТ 'юбех.НТМ1 4, Подделанная взломщиком страница Боба а 1. Мне нужен !Р-адрес Боба 2. 39.1.2.3 ()Р-адрес Боба) 3. ГзЕТ !пбех.НТМ!. 4. Домашняя страничка Боба Рис. 6.42. Нормальная ситуация (а); атака со взломом 0НБ и изменением записи, относящейся к Бобу(б) Как Труди удалось обмануть 1)(45? А это оказалось не таким уж сложным делом.
Если не вдаваться в подробности, можно описать процесс так: Труди обманным путем заставляет РЮ-сервер провайдера Алисы послать запрос для поиска адреса Боба. К несчастью, так как 1)ЛБ использует 1Л)Р, сервер пс может узнать, кто является реальным отправителем ответа. Труди использует это свойство, фальсифицируя ожидаемый ответ и тем самым занося неверные сведения об 1Р- адресе Боба в кэш 1)Л'5-сервера. Для простоты мы будем предполагать, что провайдер Алисы изначально нс имеет сведений о веб-сайте Боба, ЬРЬ.сов.
Если жс такие сведения есть, злоумьпплснник может выждать, пока срок действия записи истечет, и попробовать еще раз (либо применить другие хитрости). Труди начинает свою атаку с того, что посылает провайдсру Алисы запрос на поиск 1Р-адреса ЬРЬ.солт. Так как соответствующая запись отсутствует, сервер, в свою очередь, опрашивает сервер домена верхнего уровня (.соп!). Но Трупп опережает этот сервер и посылает ложный ответ, в котором сообщается, что 1Р-адрес ЬоЬ.согп якобы 42.9.9.9. Как мы знаем, в реальности это адрес Труди.
Так как этот ответ приходит первым, данные из него заносятся в кэш сервера провайдеРа, а настоящий ответ, если он приходит позже, отвергается. Установка ложного 1Р-адреса называется обманом 14ХБ. А кзш, в котором хранится заведомо ложный 1р-адрес, называется отравленным кзшем. Надо сказать, что на практике все нс так просто. Во-первых, провайдер Алисы все-таки провсряет наличие в ответе правильного адреса сервера верхнего уровня.
Но Труди может написать в соответствующем поле что угодно и преодолеть эту преграду. Учитывая то, что адреса серверов верхнего уровня общедоступны, сделать это несложно. Во-вторых, для того чтобы 1)Л)Я-сервер мог понять, какому запросу соответствует ответ, во все запросы добавляются порядковые номера. Чтобы обмануть Защита информации во Всемирной паутине 911 провайдера Алисы, Труди должна знать теку|ций порядковый номер. Самый простой способ узнать его — это зарегистрировать собственный домен, например, гпту-Фвдщгибег.согп, Предположим, что 1Р-адрес этого домена также 42.9.9.9.
Труди создаст ЭХЗ- сервер для этого домена; бпэдгпдуМЬвдп1гибег.сот. Его 1Р-адрес тот же самый (42.9.9.9), поскольку оба домена расположены на одном и том жс компьютере, Теперь надо заставить провайдера Алисы поинтересоваться 0Хо-сервером Труди. Сделать это несложно.
Требуется лишь запросить, например, 1ооЬагЛгцоуийв''п1гибег.согп, и серверу провайдера Алисы придется опросить сервер верхнего уровня, .соп1, и узнать у него, кто обслуживает новый домен Труди. И вот теперь, когда запись бпэЛгобу-Федп1гибег.согп занесена в кэш провайдера, можно спокойно начинать атаку.
Труди запрашивает у провайдсра Алисы илиеЛгиду-Федп1пк3ег.согп, а тот в ответ посылает на РХЯ-сервер Труди соответствующий запрос. Вот в этом-то запросе и содержится нужный злоумышленнице порядковый номер. Теперь Труди должна действовать без промедления: она ищет с помощью провайдсра Алисы Боба и тут же отвечает на собственный вопрос, посылая фальшивку: «Адрес ЬоЬ.сопк 42.9.9.9». Этот подделанный ответ несет в себе порядковый номер на единицу больше только что полученного. За время атаки она может послать сше одну фальшивку, с номером, на два больше полученного, а также еше около дюжины таких «ответов» с увеличивающимися номерами. Задача одного из них нам уже ясна. Остальные никому пс нужны, их просто выкинут.
После прибытия фалыпивого ответа на запрос Алисы он будет помещен в кэш; к тому времени, когда лоберется настошцнй ответ, он будет отвергнут, так как ссриср уже ничего нс ожидает. И вот Алиса ищет 1Р-адрсс ЬоЬ.соп1 и узнает, что он равен 42.9.9.9. Как мы знаем, это адрес Труди, которая провела успешную атаку типа «человек посередине», нс выходя из своей комнаты.
Последовательность предпринятых сю шагов показана на рис. 8.43. К сожалению, это еше и не единственный способ обмануть Г)ХЗ. Этих способов действительно много, Квш вайдврв Алисы Рис.8.43. Обман лровайдврвАлисы 912 Глава 8. Безопасность в сетях Защита ОЙЗ Избежать атак описанного типа можно, заставив РХ5-серверы использовать случайные идентификаторы в своих запросах вместо того, чтобы просто инкрсментировать их. К сожалению, заткнув одну «дыру», мы обнаруживаем другую. Настоящая проблема в том, что служба РХЗ разрабатывалась в те времена, когда Интернет был чисто исследовательской сетью, работавшей в нескольких сотнях университетов, и ни Алиса, ни Боб, ни Труди на этот праздник жизни приглашены не были.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
