|
 Все новости от 21 апреля 2002 г.
Новый инструмент камуфлирует хакерские программы
Новый инструмент, манипулирующий пакетами данных, позволяет злоумышленникам маскировать свои программы таким образом, что их не смогут засечь многие системы обнаружения проникновений и межсетевые экраны.
Инструмент, называемый Fragroute, использует несколько методов обмана систем распознавания атак на основе сигнатур, применяемых многими системами обнаружения проникновений и межсетевыми экранами. Большинство этих методов было описано в научной работе, опубликованной четыре года назад.
На прошедшей неделе специалист по безопасности компании Arbor Networks Дуг Сонг (Dug Song) выложил Fragroute на свой веб-сайт.
«(Некоторые) брандмауэры, средства предотвращения проникновений и другие системы фильтрования контента, действующие на прикладном уровне, имеют сходные уязвимые места, которые при помощи Fragroute легко обнаружить», – говорится в постинге Сонга в списке рассылки Bugtraq.
Новый инструмент опрокидывает баланс сил в «гонке вооружений» между взломщиками сетей и их защитниками – по крайней мере на время. Любой брандмауэр или система обнаружения проникновений, в которых Fragroute найдет слабину, становятся уязвимыми для атак вандалов.
Fragroute – программа двоякого действия: она выявляет слабые места сетевой защиты, выдавая информацию, которая системному администратору помогает защитить свою сеть, а хакеру – атаковать ее. Используя несколько методов введения специфических данных в содержание пакетов, Fragroute обманывает системы обнаружения. Эти методы изложены в опубликованной в январе 1998 года работе Томаса Птачека (Thomas Ptacek) и Тимоти Ньюшема (Timothy Newsham), специалистов компании Secure Networks, которую позднее купила Network Associates.
Программа обходит системы обнаружения проникновений, которые часто контролируют подлинность входных данных не так строго, как серверное ПО, обычно служащее мишенью для хакеров. Одним из вариантов таких «подсадных» атак является направляемая на сервер команда, в целях маскировки дополненная заведомо недозволенными данными. ПО защиты сервера отбрасывает эти данные, оставляя допустимую, но злонамеренную команду.
Многие системы обнаружения проникновений не удаляют такие обрезки данных, поэтому враждебная команда остается в системе, не подвергаясь дальнейшему анализу.
Например, система обнаружения проникновений, которая следит за последними переполнениями буфера, может распознать атаку по тексту "http:///" в составе входных данных. Но если атакующий посылает текст "http://somegarbagehere/", зная, что атакуемый компьютер отбросит часть "somegarbagehere", этот текст останется на сервере, а система защиты может не распознать угрозы, если не отбросит ту же часть текста, что и сервер.
Марти Роуш (Marti Roesch), президент компании-поставщика систем защиты SourceFire и создатель популярной open-source системы обнаружения вторжений Snort, утверждает, что его компания устранила большинство уязвимостей, эксплуатируемых Fragroute, а оставшиеся лазейки закроет на следующей неделе.
«Дуг говорил мне об этих методах несколько месяцев назад, и я принял это к сведению», – сказал он.
Хотя Роуш не предусмотрел защиту для каждого из методов атак, используемых Fragroute, сделать это, говорит он, нетрудно:
«В большинстве случаев для изготовления поправки достаточно 10 минут. Просто раньше об этом не подумали».
Если Snort правильно сконфигурирована, многие из этих атак не сработают, но в конфигурации по умолчанию система не обнаруживает закамуфлированных данных, так как в противном случае она выдавала бы слишком много ложных сигналов тревоги.
«Snort гораздо лучше большинства других программ», – указывает в своем постинге Сонг, добавляя, что многие патентованные системы защиты тоже уязвимы.
Компания Security Systems, поставщик коммерческого ПО защиты, утверждает, что ее продукт RealSecure неуязвим для Fragroute.
«Мы с самого начала, как только ознакомились с той работой, решили проблемы фрагментации», – сказал руководитель группы исследований и разработок компании Дэн Ингевалдсон (Dan Ingevaldson).
По его словам, на прошлой неделе Security Systems протестировала инструмент Сонга и убедилась в том, что предпринимаемые с его помощью атаки обнаруживаются.
 Предыдущие публикации:
|
 |
 | Pig Killer
22 Apr 2002 9:38 AM |
Подробнее о проге и скачать ее можно отсюда:
http://securitylab.ru/?ID=30225
|
|
| eXOR - billg microsoft.com
22 Apr 2002 1:08 PM |
http://www.monkey.org/~dugsong/fragroute/
:-).
Программка ничего нового не содержит ;-). |
|
| Pig Killer
23 Apr 2002 9:55 AM |
| Раздули из ничего проблему... |
|
| eXOR - billgmicrosoft.com
23 Apr 2002 3:12 PM |
| Хто раздул? Проблемы то и нету... просто леммингов пугають... |
|
| Pig Killer
24 Apr 2002 11:03 AM |
| Только с моего сайта(securitylab) более 1000 человек прогу скачали за последние 3 дня... |
|
| adam - mamii_adam.jmail.ru
30 Oct 2002 7:32 PM |
| Хочи получить права Администратора на сваём кампьютере помогите зарание благадарен |
|
| Adam - Mamii_adamrambler.ru
11 Jul 2003 10:41 AM |
| Хочи получить права Администратора на сваём кампьютере помогите зарание благадарен |
|
| Дима Пав. - dimalizakahovka.net
17 Oct 2003 8:11 PM |
| Хакеры-Лохи |
|
| Дима Павлюк - dimalizakahovka.net
17 Oct 2003 8:13 PM |
| Я не поддержую хакеров так как они... |
|
| Егорище
17 Nov 2003 10:00 PM |
| Хакеры пеальные люди и тут не поспоришь только с такой головой можно выжить в нашей стране так держать ребята. Всё ломоть хаковать и вскрувать!!! |
|
| LOM
2 Dec 2003 9:37 PM |
| ХАКЕР FOREVER!!! |
|
| Bass
8 Dec 2003 6:07 PM |
| И всётаки планокуры и хакеры умные люди |
|
| DNC - aleksei.klishevitshhanza.het
29 Dec 2003 2:44 AM |
| K хакерам отношусь нормально , люди действительно умные.Программа интересная ,хотелось бы себе такую. |
|
| Neo
2 Feb 2004 12:56 AM |
| Хакеры Сила |
|
| Павел - mokosinbox.ru
23 Feb 2004 8:56 PM |
| хакерры это просто малорики,так держать ребята и девченки!!! |
|
| Danzer - danzer1986mail2000.ru
14 Apr 2004 1:25 PM |
| Хакеры ето сила и причем реальная...если кто против скиньте мне свое мыло и я вам в ето докажу...:)))) |
|
| Hak - Kiu-Denisyandex.ru
20 Apr 2004 11:14 PM |
| Хакеры пацаны молодцы пробивать этих Лэймеров всех надо |
|
| Emtec
10 May 2004 11:19 AM |
| Правильно, так и надо поступать с Лаймерами. Хакерство рулит!!!! |
|
| HELP[13]. - www.foton666mail.ru
11 Sep 2004 8:55 PM |
| что-то вы тут не по теме базарите. Хакеры - лооохи(пасть порву), хакеры - рууулез... Чо тут доказывать? кто не верит в нашу силу, скоро сам лажанётся, а остальные... Фиг с вами |
|
| NP2N - batman2005yandex.ru
13 Sep 2004 5:48 AM |
| Хакеры обьединяйтесь<!>. Помогите мне заработать немного денег WMZ, стукните по любому из двух банеров на этом сайте http://www.batman2005.sbn.bz/ Помогите бесплатными прогами по хакингу если есть свеженькое что. |
|
| NP2N - batman2005yandex.ru
13 Sep 2004 5:50 AM |
| А ламеры это одна прямая извилина между ушами! |
|
| OEM - nikitatorlopovrambler.ru
15 May 2007 2:25 PM |
скиньте пару прог будем гасить етих ламеров
|
|
|
