Благодаря разгоревшейся дискуссии вокруг реализации raw sockets в Windows XP и их потенциальной опасности, президент Gibson Research Corporation Стив Гибсон на время стал гораздо популярнее своего знаменитого однофамильца — основоположника стиля киберпанк.
Гибсон по-прежнему пытается убедить Microsoft в том, что raw sockets в Windows XP Home Edition станут средством, позволяющим успешно маскировать источник атаки DDoS (см. "Компьютерное Обозрение", # 29).
Действительно, позиция Microsoft в отношении использования raw sockets выглядит, по меньшей мере, странно. Планируется, что для работы с raw sockets в Windows XP пользователь должен иметь привилегии администратора. Подобное решение вполне оправдано; точно так же поступают разработчики BSD, Linux и некоторых других систем. Но само название Windows XP Home Edition говорит о том, что данная система предназначена для индивидуального применения, где пользователем и администратором, как правило, является один и тот же человек.
Дальше — хуже. Оказывается, что в Windows XP Home Edition каждый пользователь по умолчанию получает привилегии администратора. Сделано так потому, что ограничения, связанные с защитой, могут вызвать проблемы при работе многих приложений, разработанных для Windows 9x. Получается парадоксальная ситуация: доступ к raw sockets ограничен для узкого круга, в который входят… все пользователи системы.
Как уже говорилось в предыдущей публикации, raw sockets были "втихую" реализованы уже в Windows 2000. Впрочем, чтобы однозначно определиться с необходимостью дополнительных защитных мер, пользователям вовсе не обязательно вникать в подобные нюансы. Еще одна разработка Гибсона — программа SocketToMe — выполняется в любой версии Windows и определяет текущий уровень доступа к raw sockets.
Далее, как справедливо утверждает Гибсон, поскольку решить данную проблему возможно с помощью утилиты размером 22 КВ, то специалисты Microsoft, непосредственно занимающиеся разработкой ОС, наверняка способны реализовать и другие, более эффективные, подходы. Однако будем реалистами: руководство Microsoft приняло решение относительно raw sockets и менять его не собирается. Фактически со дня на день окончательный код Windows XP будет отправлен в производство, а в конце сентября уже ожидаются поставки готовых систем с предустановленной ОС.
Бороться с такими драйверами будет намного сложнее, и не только с технической точки зрения. Даже при обнаружении антивирусной программой рискнет ли пользователь удалять его, ставя под угрозу работоспособность всей системы (или пусть даже одного стека TCP/IP)? Тем более что драйвер практически не влияет на производительность, потребляет ничтожно малые ресурсы и даже не помышляет о том, чтобы стереть информацию с жесткого диска. Конечно, в людей надо верить, но все же реальную безопасность должны обеспечить новые средства защиты.