Обзоры Обзоры 28.08.2001 в 21:00 comment

Споры вокруг raw sockets не утихают

author avatar
https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

ITC.UA

автор

Благодаря разгоревшейся дискуссии вокруг реализации raw sockets в Windows XP и их потенциальной опасности, президент Gibson Research Corporation Стив Гибсон на время стал гораздо популярнее своего знаменитого однофамильца — основоположника стиля киберпанк.

Гибсон по-прежнему пытается убедить Microsoft в том, что raw sockets в Windows XP Home Edition станут средством, позволяющим успешно маскировать источник атаки DDoS (см. "Компьютерное Обозрение", # 29).

Действительно, позиция Microsoft в отношении использования raw sockets выглядит, по меньшей мере, странно. Планируется, что для работы с raw sockets в Windows XP пользователь должен иметь привилегии администратора. Подобное решение вполне оправдано; точно так же поступают разработчики BSD, Linux и некоторых других систем. Но само название Windows XP Home Edition говорит о том, что данная система предназначена для индивидуального применения, где пользователем и администратором, как правило, является один и тот же человек.

Дальше — хуже. Оказывается, что в Windows XP Home Edition каждый пользователь по умолчанию получает привилегии администратора. Сделано так потому, что ограничения, связанные с защитой, могут вызвать проблемы при работе многих приложений, разработанных для Win­dows 9x. Получается парадоксальная ситуация: доступ к raw sockets ограничен для узкого круга, в который входят… все пользователи системы.

Споры вокруг raw sockets не утихают Стив Гибсон предлагает выход: поскольку реальной необходимости в raw sockets обычно не возникает даже у администраторов системы, доступ к ним должен быть разрешен лишь для самой ОС. Причем решение проблемы существует не только на словах; разработанная Гибсоном программа SocketLock запрещает обращение к raw sockets всем пользовательским программам и при этом никак не влияет на доступ к "гнездам" этого типа с системного уровня.

Как уже говорилось в предыдущей публикации, raw sockets были "втихую" реализованы уже в Windows 2000. Впрочем, чтобы однозначно определиться с необходимостью дополнительных защитных мер, пользователям вовсе не обязательно вникать в подобные нюансы. Еще одна разработка Гибсона — программа SocketToMe — выполняется в любой версии Windows и определяет текущий уровень доступа к raw sockets.

Англійська для початківців від Englishdom.
Для тих, хто тільки починає вивчати англійську і хоче вміти використовувати базову лексику і граматику.
Реєстрація на курс

Далее, как справедливо утверждает Гибсон, поскольку решить данную проблему возможно с помощью утилиты размером 22 КВ, то специалисты Microsoft, непосредственно занимающиеся разработкой ОС, наверняка способны реализовать и другие, более эффективные, подходы. Однако будем реалистами: руководство Microsoft приняло решение относительно raw sockets и менять его не собирается. Фактически со дня на день окончательный код Windows XP будет отправлен в производство, а в конце сентября уже ожидаются поставки готовых систем с предустановленной ОС.

Споры вокруг raw sockets не утихают Прискорбно, однако, что продолжающаяся уже четвертый месяц дискуссия окончательно сосредоточилась вокруг raw sockets в Windows XP, а главный вопрос — организация DDoS-атак и борьба с ними — постепенно отошел на второй план. Неужели без raw sockets нельзя подменить обратный адрес в IP-пакете? В разговоре с Гибсоном специалисты Microsoft признали, что хакер может инсталлировать в чужой системе поддельный драйвер, "пожертвовав" для этого дела реальным сертификатом. Более того, по мнению участников одного из онлайновых форумов, посвященных проблеме raw sockets, специальный инструмент Driver Co-Installer позволяет обойти проверку цифровой подписи и установить драйвер без всякого сертификата. Поэтому не исключено, что вскоре вместо программ- "зомби" на пользовательских компьютерах начнут появляться драйверы, делающие фактически то же самое, но гораздо изощреннее.

Бороться с такими драйверами будет намного сложнее, и не только с технической точки зрения. Даже при обнаружении антивирусной программой рискнет ли пользователь удалять его, ставя под угрозу работоспособность всей системы (или пусть даже одного стека TCP/IP)? Тем более что драйвер практически не влияет на производительность, потребляет ничтожно малые ресурсы и даже не помышляет о том, чтобы стереть информацию с жесткого диска. Конечно, в людей надо верить, но все же реальную безопасность должны обеспечить новые средства защиты.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: