Между прочим, нашумевший недавно случай с сетью “В контакте”, легко и намеренно положившей “DDoS-атакой” неграмотно настроенный сервер “Премии Рунета”, свидетельствует о том, что популярные “социальные сети” могут быть использованы в качестве “легальных” ботнетов, очень мощных.
Как было дело с “Премией Рунета”? Администрация “В контакте” разместила на веб-страницах своего сервиса небольшой фрагмент кода, который загружал изображения с сервера “Премии”. Таким образом, пользователи социальной сети, путешествуя по каким-то там своим делам внутри “В Контакте”, попутно нагружали своими браузерами сервер “Премии”.
Как можно развивать направление? Понятно как. Браузерные технологии, позволяющие использовать вычислительные ресурсы машины пользователя, развиваются. Одно дело – Javascript, который, впрочем, тоже позволяет, например, перебирать хеши паролей на стороне клиента. Совсем другое дело – такие средства, как Flash, позволяющий использовать C/С++ для создания “сценариев”, и новинка от Microsoft – Silverlight, где разработчиков, понятно, тоже не обидят возможностями. И Flash, и Silverlight стремятся работать у клиента быстрее, по понятным причинам. Можно многое посчитать, многое сделать. Вот вам и фундамент для “ботов” на базе компьютеров пользователей социальных сетей типа “Одноклассников”. Особых проблем с процессорным временем и локальными брандмауэрами – не будет, так как массовый пользователь охотно “зависает” внутри сервиса соц. сети надолго.
Комментарии (8) »
Northrop Grumman на днях выкатили на публичный показ экземпляр перспективного ударного беспилотника морского базирования (для ВМС США) – X-47B, фото ниже. Внешне аппарат заметно отличается от того, что планировали ранее.
Первые полёты обещают через год. Ввод в строй, как можно предположить, не ранее, чем лет через пять-семь. Но, учитывая, что именно нортропы с грумманами строят авианосцы, можно ожидать, что новое поколение этих авианосцев как раз оснастят вот таким вот бесхвостыми летающими роботами, которые со временем обеспечат выполнение рутинных боевых заданий при борьбе со “слабым противником”.
Комментарии (6) »
Часто спрашивают про современные DDoS-атаки (как они внутри устроены) и борьбу с ними, про организацию этой борьбы. Вообще тема популярная, каждый раз всплески интереса но фоне заявлений прессы об атаке того или иного сайта, приуроченной к обострению офлайновых конфликтов. А тут, между прочим, помимо кучи технических моментов, помимо журналистского “вскрытия причин-источников”, есть весьма важный стратегический аспект, о котором постоянно забывают.
Скажем, в Штатах строят специальные военные структуры как бы для противодействия “атакам из киберпространства”, для повышения безопасности “военных сетей”. Но вот читая разные заявления на тему “противодействия”, повышения безопасности, применительно к Интернету, вирусам, ботнетам, тем же DDoS-атакам, разумно взглянуть на ситуацию в разрезе традиций и особенностей развития военных технологий. Можно понять ситуацию глубже.
О чём речь? Ну, вот такой банальный пример: при гражданском подходе злонамеренное “замусоривание” радиочастот – это противоправное действие (совершенно правильный и понятный подход). Есть даже службы, которые подобные действия пресекают, борются за безопасность и, собственно говоря, “устойчивость к атакам”. (Аналогичная ситуация, например, с перерезанием кабелей связи.)
В случае же военного конфликта каждой из сторон используются специальные средства РЭБ для целенаправленного “замусоривания” частот противника – постановки помех. (Ну и кабели противнику тоже режут и портят.) В принципе, методы тут схожие, а средства “замусоривания”, проведения “атак в эфире” становятся оружием. В современной ситуации оружием необходимым и, иногда, сверхэффективным. При это развитие “нападательной” стороны – систем постановки помех – становится даже более важным, чем отработка способов защиты.
Нужно ли говорить, что ситуация с РЭБ максимально близка к “кибервойнам”, завязывающимся в сетях связи, в Интернете? Поэтому все эти штатовские военные инициативы по “защите в киберпространстве” очевидно имеют и атакующую составляющую, в том числе и в плане DDoS-атак, вирусов и тому подобных “зловредных действий”, потому что инструментарий тут общий, как и в случае с другими системами вооружений. Вот об этом почему-то часто забывают, рассуждая о сетевых атаках и компьютерной безопасности. Хотя сами “создатели инициатив”, в общем-то, истинное распределение приоритетов не очень скрывают (но маскируют, это да).
Комментарии (1) »
А вот ещё сложно опубликовать адрес сайта без www. Например, я пишу: “блог по адресу dxdt.ru” – но скорее всего найдётся редактор или корректор, который с уверенностью решает, что это опечатка и исправляет: www.dxdt.ru. Пришлось даже специально сделать редирект с www на dxdt.ru. Ещё я пробовал писать URLом: http://dxdt.ru/ – тоже возникают трудности: реже, но исправляют, есть пара вариантов: http://www.dxdt.ru/ – менее проблемный; http://www.dxdt.ru – некрасивый, потому что ещё и RFC нарушается.
Вообще, многие люди, даже длительное время работающие с Интернетом, разбирающиеся “в компьютерах”, полагают, что www – это обязательный префикс для веб-сайтов, иначе, мол, просто нельзя веб-сайт адресовать. Например, на пресс-конференции журналист спрашивает: “А что же будем набирать в кириллических доменах вместо www?”. Мол, www же – латиницей пишется, а вы тут рассказываете, что полностью кириллическое имя будет. Как говорится – известно что набирать вместо www: “ццц”.
Комментарии (5) »
Кстати, так как ICANN обещает новую простую и доступную процедуру введения дополнительных доменов верхнего уровня общего назначения (gTLD: типа, COM, INFO, NET и т.п.) по заявкам заинтересованных компаний, можно ожидать очередного бума “неофициальных” доменов в Интернете. Остроты ситуации добавляет то, что ICANN обещает вводить и IDN-домены, то есть домены, записываемые символами национальных алфавитов.
Скажем, украинские предприниматели уже продвигают доменные зоны .УКР и .БЛОГ, записанные кириллицей. Работают подобные домены по “обходной схеме”, не через общепринятую DNS, а с помощью дополнительных плагинов к браузеру или к ОС.
Почему можно ожидать бума? Потому что разворачивают подобные доменные зоны с единственной целью: сделать их позже легитимными, общепринятыми. А так как ICANN обещает упрощённую процедуру введения новых доменов, то предприниматели планируют использовать факт наличия регистраций в самопровозглашённой зоне как аргумент для давления на ICANN с целью принятия именно их заявки. Понятно же, что на интересные имена подадут несколько заявок и получение преимущества потребует обоснований. (Вообще, идея с давлением на ICANN – очень старая, но, похоже, не теряющая популярность.)
Самое интересное – это если альтернативные зоны с одинаковыми именами запустят сразу несколько компаний, из разных стран или даже из одной страны (в последнем случае, правда, очень вероятен юридический конфликт).
Comments Off on Новые домены верхнего уровня
Конечно, поток версий WordPress некоторым образом удручает, но 2.7 выглядит весьма привлекательно внутри: вообще другой интерфейс, более логичный и “юзабильный” (если так можно написать). Обидно, что сейчас нельзя переходить. Дело в том, что пока там наверняка есть какая-нибудь слишком опасная уязвимость, которую обнаружат довольно быстро после выхода версии в открытое море. Вот после первых исправлений, уже можно и нужно перемещаться на 2.7.
Комментарии (4) »
Кстати, тем, кто всерьёз увлекается кризисом (или так: Кризисом), напоминаю, что в блоге dxdt.ru есть раздел по “прикладной эсхатологии“. Раздел посвящён проблематике Конца Света – ну, как там и что, какими способами собираются выживать энтузиасты выживания (это и есть эсхатологи-экспериментаторы). Раньше эсхатологические заметки регулярно выходили по пятницам, сейчас как-то перестали: я так думаю, из соображения, что читателям слишком страшно.
(Оффтопик: очень интересно, кстати, как автодилеры через автосалоны и прессу старательно убеждают потенциальных покупателей, что с нового года автомобили серьёзно подорожают. Затоваривание складов этих самых дилеров, тем временем, видно невооружённым глазом: доступные открытые пустыри в районе МКАД просто заросли новыми и никому не нужными автомобилями. То есть, слухами о подорожании пытаются хоть как-то стимулировать продажи – всё равно никто ничего не берёт, видимо.)
Comments Off on Полуоффтопик: кризис – напоминание
Под картинкой ниже – ссылка на видео (YouTube + файл wmv, качеством получше), запечатлевшее испытание перехватчика для ПРО от Lockheed Martin 2 декабря 2008. Демонстрируют способность устройства висеть и перемещаться в одном направлении. Напомню, что эта штука должна в перспективе моментально наводиться на цель – боеголовку баллистической ракеты – и эту цель атаковать с помощью имеющихся на борту средств поражения.
Ссылки:
[Видео на dxdt.ru (копия видео MDA)]
Источник: Lockheed Martin
Комментарии (8) »
Фишеры незаметно перенаправляют пользователей на свои вредоносные сайты разными способами. Часто спрашивают о простых примерах реализации этих перенаправлений. Вот как раз в этом году очень популярно обсуждать открытые “шлюзы” с редиректами на разных сайтах. Публиковалось даже одно или два подробных исследования. О чём идёт речь? Вот о чём.
Возьмём для примера новостную обменную сеть “Новотеки” – http://nnn.novoteka.ru. Здесь есть услужливый интерфейс в click.cgi, полностью открытый. При передаче скрипту на сервере “Новотеки” специально подготовленного URI, этот скрипт отправит браузер клиента по заданному произвольному адресу. При этом пользователь будет видеть в адресе ссылки URL “Новотеки”. Выглядит это, скажем, так:
http://nnn.novoteka.ru/click.cgi?url=%68%74%74%70%3A%2F%2F%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D
По такой ссылке “Новотека” отправляет пользователя на www.google.ru. Понятно, что можно сделать так: http://nnn.novoteka.ru/click.cgi?url=http%3A%2F%2Fwww.google.ru. В первом случае скрипт просто услужливо разбирает закодированную строку. (Для запутывания пользователя можно приписать ещё какие-нибудь параметры к строке.)
Сеть “Новотека” – это не самый узнаваемый ресурс, поэтому подобным образом хитрые хакеры могли бы заманивать только пользователей этой банерообменной сети (тоже, кстати, востребованный вариант). Хуже всего, что подобные “шлюзы” позволяют себе открывать узнаваемые массовой аудиторией лидеры Рунета, например “Яндекс”. Ну и “шлюзов” этих в Сети великое множество.
Comments Off on Фишерское перенаправление пользователей
Ботнеты активно используют DNS. В том числе для такой жизненно важной своей функции, как обеспечение связи с центрами управления. Вот в статье по ссылке разобран механизм генерации доменных имён червями ботнета Srizbi. (Текст по ссылке техничный, будет интересен только специалистам.)
Речь о том, что ботнет Srizbi, насчитывающий чуть ли не сотни тысяч машин в своём составе, сперва отключили от центров управления, так как черви ходили за командами на серверы с конкретными IP-адресами (по крайней мере, так пишут те, кто изучал этот ботнет). После того как серверы отключили (поскандалив с провайдерами), внутри ботнета активировался второй механизм установления связи с “центром” – черви принялись генерировать “псевдослучайные” имена доменов по заданному алгоритму и стали пытаться обращаться к сайтам под этими доменами. По логике, такое поведение – это способ восстановить контакт с хозяином: под доменами из последовательности могут быть размещены новые инструкции для ботнета. (Не совсем ясно, впрочем, почему механизм “доменной связи” не был обнаружен исследователями ботнета изначально.)
Вообще, тут интересно отметить несколько моментов, которые, несомненно, определят развитие ботнетов уже в ближайшем, 2009, году.
Скажем, код червя, формирующего ботнет, обязательно доступен аналитикам для изучения, так что создателям ботнетов (квалифицированным, по крайней мере) нужно это понимать и учитывать фактор открытости кода в своих алгоритмах. Так, в описанном только что случае Srizbi, последовательность “связных доменов” была определена при помощи анализа исходного кода червя, после чего оставалось лишь зарегистрировать нужные домены раньше хозяев ботнета и перехватить часть зомби-машин – те из них, которые в данный период времени обратились за новыми инструкциями: понятно, что ботнет обновляется постепенно. Естественно этот эффект учтут разработчики следующего поколения червя.
Использование зашитого в код списка IP-адресов управляющих узлов – это, видимо, уже очень отсталая практика. Отсталость следует из только что описанной “открытости кода”. А современное решение – это как раз использование DNS (странным образом реализованное и в Srizbi). Дело в том, что DNS – это такое универсальное средство для придания хорошей анонимности жизненным сигналам центральной нервной системы ботнета. Заражённые машины находят IP-адреса центров управления не в собственном локальном списке хостов, доступном аналитикам, а в глобальной DNS, анализ которой куда как сложнее.
Как это происходит? Регистрируется некоторый набор доменов второго уровня, возможно, с приватной или, скорее, с вымышленой персональной информацией об администраторе (доступно в самых разных зонах, в том числе в .com, и даже в .ru). Далее в этих доменах создаются зоны на несколько уровней ниже (третий, четвёртый, пятый и т.д.). Имена, понятно, регистрируются в соответствии с алгоритмами, заложенными в ботнет. Получается набор абракадабр, что-то типа f148.hsjo71gh.w2-8xnb.qf297dhna.com. При этом серверы имён, связанные тут с доменами уровнем ниже второго, постоянно изменяют информацию об адресах. То есть запросы по именам доменов ведут на самые разные машины в разные моменты времени (понятно, с учётом особенностей DNS).
А эти машины – вовсе и не центры управления, а такие же зомби, только из другого ботнета, попроще. Машины работают proxy-серверами, перенаправляя запросы на некий, возможно вполне себе официальный, хостинг. На этом хостинге уже работает настоящий центр управления ботнетом. Впрочем, наилучший вариант – какой-либо заражённый сайт, с которого незаметно забирают команды черви ботнета.
Особенность схемы в том, что сложно найти концы: сделав запрос в DNS, можно узнать адрес proxy, за которой скрывается “нервный центр”. Но proxy оказывается лишь чьим-то заражённым компьютером – пользы от такой информации не так уж и много. При этом задействованные компьютеры, как и имена доменов, постоянно меняются, а серверами имён, обслуживающими домены, также могут служить компьютеры-зомби. Таким образом, собранные исследователем сведения о структуре управления ботнетом быстро устаревают. Владелец же хостинга, где расположен центр, оказываясь, так сказать, с другой стороны стены из proxy, лишь видит некий трафик с изменяющегося набора IP-адресов на свои серверы, то есть вообще ничего подозрительного.
Концы хорошо спрятаны.
Можно искать тех, кто настраивает DNS для зловредных доменов, но это весьма непросто уже и для доменов второго уровня: нужно связываться с регистратором, запрашивать данные (а регистратор их так просто не может выдать), проверять полученные данные, убеждаться, что они липовые, и так далее. А для доменов ниже третьего уровня – ситуация ещё сложнее, регистратор их напрямую вообще не контролирует: кто там правит файлы зон – неизвестно.
В принципе, все эти технологии уже освоены. Проблема Srizbi, видимо, в том, что механизмы выживаемости реализованы в нём неполно, по каким-то там внутренним инженерным причинам создателей. Возможно, использовали недостаточно современный комплект библиотек и средств разработки. А вот уже в следующем году, так как в DNS ситуация равным счётом не поменялась (несмотря на все усилия), появятся уже куда более отлаженные библиотеки и модули и, как результат, более живучие ботнеты. А живучий ботнет – это большой ботнет, потому что численность машин-зомби находится в прямой зависимости от времени активной жизни (в контакте с “нервным центром”) одного червя.
Вот.
Комментарии (3) »
Возникло бурное обсуждение записки про электронное голосование – в комментариях уже рукой подать до системы, где центральный сервер уполномочен хранить персонализированные логи голосования (по каждому избирателю). В принципе, отсюда уже очень близко до концепции машины, которая и результаты выборов сама будет объявлять, ну или там ещё какие-нибудь определяющие решения выносить.
Комментарии (17) »