|
 Все новости от 3 апреля 2001 г.
Код-камуфляж — новая угроза безопасности сетей
Метод маскировки программ, нацеленных на взлом корпоративных сетей, еще больше увеличит накал борьбы между хакерами и специалистами по сетевой защите.
В ходе семинара на конференции CanSecWest, состоявшейся на прошлой неделе в Ванкувере, хакер, назвавшийся К2, представил разработанный им код, позволяющий маскировать небольшие программы, обычно используемые хакерами для преодоления систем безопасности. Такой камуфляж вводит в заблуждение средства распознавания структуры кода, применяемые во многих системах обнаружения проникновений (intrusion detection systems, IDS), которые выполняют в интернете роль защитной сигнализации.
«Поверьте мне, это обманет любой детектор структур», — заявил К2, который отказался сообщить свое подлинное имя, так как по совместительству работает консультантом по безопасности сетей.
Когда в системе защиты корпоративной сети обнаруживается новая лазейка, хакеры, как правило, находят несколько способов воспользоваться ею. Борясь с этой угрозой, производители систем обнаружения проникновений постоянно совершенствуют свое ПО, отслеживая новые варианты известных методов. Однако теперь, по словам К2, баланс сил будет нарушен. С помощью метода, названного полиморфным кодированием, атакующие могут изменять структуру кода таким образом, что он обманет многие системы обнаружения проникновений, — при этом исходная вредоносная программа продолжает действовать. «Это абсолютно новый подход к использованию пробелов в защите», — заявляет К2.
Эксперты по сетевой защите приняли сообщение неоднозначно. Некоторые посчитали его одним из обычных ходов в партии между нападающими и защитниками. «Обнаружение проникновений — это гонка вооружений, — сказал президент компании SourceFire и создатель популярной системы IDS Snort Мартин Рош (Martin Roesch). — Есть мера, будет и контрмера». Рош уже начал оснащать Snort средствами борьбы с такими приемами, как метод К2. «Вместо одной сигнатуры мы будем использовать разносторонние правила», — пояснил он.
Однако пока производители систем защиты будут модернизировать свои продукты, для онлайновых вандалов наступит раздолье. «Если метод К2 возьмут на вооружение массы хакеров, нам придется не сладко», — говорит директор консалтинговой службы компании Neohapsis Грег Шипли (Greg Shipley). Он сравнивает современные системы обнаружения проникновений с антивирусными сканерами, которые сопоставляют сигнатуры программ с базой данных об известных вирусах. Технология сравнения структур, как и антивирусные сканеры, страдает неточностью. «Будь эти системы совершенными, эпидемии вируса Melissa никогда бы не случилось, — говорит Шипли. — Вот вам еще одно обоснование необходимости своевременно вносить поправки в свои серверы».
Консультант по сетевой защите и организатор конференции CanSecWest Драгос Руйу (Dragos Ruiu) заверил, что новая программа представляет собой лишь временную трудность для производителей систем обнаружения проникновений. «К2 сделал неэффективным то, что служило броней, — сказал он. — Но мы добьемся паритета с атакующими».
Даже сам К2 не верит в возможность быстрого распространения своего метода полиморфизма. По его словам, добиться того, чтобы все работало правильно, очень трудно. «Это не детские скрипты, — признал он. — Здесь требуется большой опыт, а тот, у кого он есть, сначала должен найти лазейку».
|
 |
 | imageman - imageman mail.lv
3 Apr 2001 3:47 PM |
| Что-то подобное было с вирусами - почти справились :-) |
|
| Qrot
3 Apr 2001 4:52 PM |
| Интересно, для каких систем это работае? а то, пока читал, идея пявилась - под NT файловые потоки использовать |
|
| kab
3 Apr 2001 5:40 PM |
| кстати идея не нова, но о реализации её я ещё не слышал, если чувак продемонстрировал код - то молодец, не просто так сесть и написать полиморфный код |
|
| kab
3 Apr 2001 5:40 PM |
| кстати идея не нова, но о реализации её я ещё не слышал, если чувак продемонстрировал код - то молодец, не просто так сесть и написать полиморфный код |
|
| eXOR
4 Apr 2001 6:45 AM |
2 kab:
А разве речь шла о полиморфизме? |
|
| REX
5 Apr 2001 11:25 AM |
на самом деле есть технологии (достаточно распространенные), которые позволяют хранить хэш код каждого файла, и в случае несовпадения, как говорил один класик, трубить во все воронье горло.
Очень помогает в случае полиморфизма. Хотя работа таких програм довольно дорога (в смысле ресурсов). |
|
| kirill - kirillsky.net.ua
5 Apr 2001 11:40 AM |
А мне кажется что все это очередная
глупая читка, (типа недавней о дырке
в TCP\IP о которой знают уже покрайней мере
лет 10) Чем интересно полиморфный троян отдичается от полиморфного вируса c точки знения например AVP? Я думаю ничем.
Мне кажется что иногда людям(журналистам) просто нехватает нормальных новостей и они начинают всякую чушь гнать |
|
| Бармалей
5 Mar 2007 9:09 AM |
| Я считаю что коль ты такой модный хацкер, то не обязательно трубить во все СМИ свои ходы в том или ином превосходстве над защитой, потому что там тоже не лохи сидят а программеры, которые в состоянии уделать кого угодно-это просто вопрос времени!Так что если ты нашел дыру пихай в неё в одно рыло, максимум со своей компанией а вскрытие самого себя-это по моему похоже на шизофрению!!!Эта гонка никогда не кончится, так что лучше давать себе перерывы!!! |
|
|
