Благодаря разгоревшейся дискуссии вокруг реализации raw sockets в Windows XP и их потенциальной опасности, президент Gibson Research Corporation Стив Гибсон на время стал гораздо популярнее своего знаменитого однофамильца — основоположника стиля киберпанк.
Гибсон по-прежнему пытается убедить Microsoft в том, что raw sockets в Windows XP Home Edition станут средством, позволяющим успешно маскировать источник атаки DDoS (см. "Компьютерное Обозрение", # 29).
Действительно, позиция Microsoft в отношении использования raw sockets выглядит, по меньшей мере, странно. Планируется, что для работы с raw sockets в Windows XP пользователь должен иметь привилегии администратора. Подобное решение вполне оправдано; точно так же поступают разработчики BSD, Linux и некоторых других систем. Но само название Windows XP Home Edition говорит о том, что данная система предназначена для индивидуального применения, где пользователем и администратором, как правило, является один и тот же человек.
Дальше — хуже. Оказывается, что в Windows XP Home Edition каждый пользователь по умолчанию получает привилегии администратора. Сделано так потому, что ограничения, связанные с защитой, могут вызвать проблемы при работе многих приложений, разработанных для Windows 9x. Получается парадоксальная ситуация: доступ к raw sockets ограничен для узкого круга, в который входят… все пользователи системы.
Стив Гибсон предлагает выход: поскольку реальной необходимости в raw sockets обычно не возникает даже у администраторов системы, доступ к ним должен быть разрешен лишь для самой ОС. Причем решение проблемы существует не только на словах; разработанная Гибсоном программа SocketLock запрещает обращение к raw sockets всем пользовательским программам и при этом никак не влияет на доступ к "гнездам" этого типа с системного уровня.
Как уже говорилось в предыдущей публикации, raw sockets были "втихую" реализованы уже в Windows 2000. Впрочем, чтобы однозначно определиться с необходимостью дополнительных защитных мер, пользователям вовсе не обязательно вникать в подобные нюансы. Еще одна разработка Гибсона — программа SocketToMe — выполняется в любой версии Windows и определяет текущий уровень доступа к raw sockets.
Далее, как справедливо утверждает Гибсон, поскольку решить данную проблему возможно с помощью утилиты размером 22 КВ, то специалисты Microsoft, непосредственно занимающиеся разработкой ОС, наверняка способны реализовать и другие, более эффективные, подходы. Однако будем реалистами: руководство Microsoft приняло решение относительно raw sockets и менять его не собирается. Фактически со дня на день окончательный код Windows XP будет отправлен в производство, а в конце сентября уже ожидаются поставки готовых систем с предустановленной ОС.
Прискорбно, однако, что продолжающаяся уже четвертый месяц дискуссия окончательно сосредоточилась вокруг raw sockets в Windows XP, а главный вопрос — организация DDoS-атак и борьба с ними — постепенно отошел на второй план. Неужели без raw sockets нельзя подменить обратный адрес в IP-пакете? В разговоре с Гибсоном специалисты Microsoft признали, что хакер может инсталлировать в чужой системе поддельный драйвер, "пожертвовав" для этого дела реальным сертификатом. Более того, по мнению участников одного из онлайновых форумов, посвященных проблеме raw sockets, специальный инструмент Driver Co-Installer позволяет обойти проверку цифровой подписи и установить драйвер без всякого сертификата. Поэтому не исключено, что вскоре вместо программ- "зомби" на пользовательских компьютерах начнут появляться драйверы, делающие фактически то же самое, но гораздо изощреннее.
Бороться с такими драйверами будет намного сложнее, и не только с технической точки зрения. Даже при обнаружении антивирусной программой рискнет ли пользователь удалять его, ставя под угрозу работоспособность всей системы (или пусть даже одного стека TCP/IP)? Тем более что драйвер практически не влияет на производительность, потребляет ничтожно малые ресурсы и даже не помышляет о том, чтобы стереть информацию с жесткого диска. Конечно, в людей надо верить, но все же реальную безопасность должны обеспечить новые средства защиты.