Торренты, скайп и безопасность / Хабрахабр. Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей. Коротенько о себе: я занимаюсь сетевой безопасностью. Специализируюсь на cisco (CCIE Security). Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит. Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен. Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет. Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call- home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять. Попытки соединиться производятся, как правило, по имени (именам), а эти имена динамически меняются в ДНСе каждый день. И порты эти приложения (собакины дети!) выбирают разные, случайные в надежде, что они открыты на межсетевом экране. А чем же они опасны? Хороший ботнет да в умелых руках — мощнейшее оружие для проиведения распределенной атаки отказа в обслуживании (DDo. S), рассылки спама и других атак. Против DDo. S пока нет эффективного оружия (канал, «заткнутый» со стороны провайдера, клиент «проковырять» ну никак не может). Хочется ли вам стать частью ботнета? А теперь некоторые факты про торрент: 1. Торренты (многие клиенты) могут подключаться по многим портам. При этом никаких сообщений типа "торрент не зарегестрирован на. После инициализации плагин периодически бегает по списку . Торренты используют множество адресов, на которых регистрируются. Вы сами ставите клиента, инициируете соединение из- под межсетевго экрана. Активность на выкачку (когда трафик забирают у клиента) легко может скрывать любые действия с клиентоми про скайп: 1. При установке скайпа всем выдается сертификат, подписанный сервером скайпа. При добавлении нового абонента добавляется его сертификат. При соединении с сервером весь трафик шифруется сертификатом (открытым ключом) сервера. Я пытался его неделю назад зафильтровать при помощи cisco IPS и был посрамлен : ( Старую (нешифрованную) версию IPS фильтровал по шаблонам. Скайп может цепляться (по неизвестным адресам и неизвестным портам) к разным серверам. Сессия скайпа (служебная) не отслеживается, равно как и разговорная, ибо зашифрована. Мало того, признаю, что скайп — простая и ГЕНИАЛЬНАЯ штука, соединившая в себе несколько простых и умных идей (шифрование, сертификаты для автоматического доверия, «параноидальное» подключение перебором, открытие 2 сессий от 2 клиентов изнутри межсетевых экранов). И удобная для пользователя. Но это — головная боль безопасников, если надо закрыть. И торрент, думаю, полезен многим (хотя ИМХО его влияние и популярность сильно раздуто и мне не очень понятно). Опровергните мои слова. И можете называть меня параноиком и паникером : )С уважением, Сергей Федоров.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
November 2017
Categories |