Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.
Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).
Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.
Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.
Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.
Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
Попытки соединиться производятся, как правило, по имени (именам), а эти имена динамически меняются в ДНСе каждый день.
И порты эти приложения (собакины дети!) выбирают разные, случайные в надежде, что они открыты на межсетевом экране.
А чем же они опасны?
Хороший ботнет да в умелых руках — мощнейшее оружие для проиведения распределенной атаки отказа в обслуживании (DDoS), рассылки спама и других атак. Против DDoS пока нет эффективного оружия (канал, «заткнутый» со стороны провайдера, клиент «проковырять» ну никак не может). Хочется ли вам стать частью ботнета?
А теперь некоторые факты про торрент:
1. Торренты (многие клиенты) могут подключаться по многим портам
2. Торренты используют множество адресов, на которых регистрируются
3. Вы сами ставите клиента, инициируете соединение из-под межсетевго экрана
4. Активность на выкачку (когда трафик забирают у клиента) легко может скрывать любые действия с клиентом
и про скайп:
1. При установке скайпа всем выдается сертификат, подписанный сервером скайпа
2. При добавлении нового абонента добавляется его сертификат
3. При соединении с сервером весь трафик шифруется сертификатом (открытым ключом) сервера. Я пытался его неделю назад зафильтровать при помощи cisco IPS и был посрамлен :( Старую (нешифрованную) версию IPS фильтровал по шаблонам.
4. Скайп может цепляться (по неизвестным адресам и неизвестным портам) к разным серверам
5. Сессия скайпа (служебная) не отслеживается, равно как и разговорная, ибо зашифрована…
Какой же я делаю из этого вывод?
А то, что оба сервиса с сетевой точки зрения до боли напоминают действия ботнета…
Я никого ни от чего не отговариваю. Мало того, признаю, что скайп — простая и ГЕНИАЛЬНАЯ штука, соединившая в себе несколько простых и умных идей (шифрование, сертификаты для автоматического доверия, «параноидальное» подключение перебором, открытие 2 сессий от 2 клиентов изнутри межсетевых экранов). И удобная для пользователя. Но это — головная боль безопасников, если надо закрыть.
И торрент, думаю, полезен многим (хотя ИМХО его влияние и популярность сильно раздуто и мне не очень понятно)…
Только одно «но»: лично я совсем не уверен, что в один непрекрасный момент миллионы компьютеров пользователей популярных сервисов не превратятся в один гигантский ботнет, от которого не будет спасения… Достаточно «обновить версию».
Я очень рад был бы ошибаться. Опровергните мои слова. И можете называть меня параноиком и паникером :)
С уважением, Сергей Федоров
Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).
Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.
Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.
Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.
Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.
Попытки соединиться производятся, как правило, по имени (именам), а эти имена динамически меняются в ДНСе каждый день.
И порты эти приложения (собакины дети!) выбирают разные, случайные в надежде, что они открыты на межсетевом экране.
А чем же они опасны?
Хороший ботнет да в умелых руках — мощнейшее оружие для проиведения распределенной атаки отказа в обслуживании (DDoS), рассылки спама и других атак. Против DDoS пока нет эффективного оружия (канал, «заткнутый» со стороны провайдера, клиент «проковырять» ну никак не может). Хочется ли вам стать частью ботнета?
А теперь некоторые факты про торрент:
1. Торренты (многие клиенты) могут подключаться по многим портам
2. Торренты используют множество адресов, на которых регистрируются
3. Вы сами ставите клиента, инициируете соединение из-под межсетевго экрана
4. Активность на выкачку (когда трафик забирают у клиента) легко может скрывать любые действия с клиентом
и про скайп:
1. При установке скайпа всем выдается сертификат, подписанный сервером скайпа
2. При добавлении нового абонента добавляется его сертификат
3. При соединении с сервером весь трафик шифруется сертификатом (открытым ключом) сервера. Я пытался его неделю назад зафильтровать при помощи cisco IPS и был посрамлен :( Старую (нешифрованную) версию IPS фильтровал по шаблонам.
4. Скайп может цепляться (по неизвестным адресам и неизвестным портам) к разным серверам
5. Сессия скайпа (служебная) не отслеживается, равно как и разговорная, ибо зашифрована…
Какой же я делаю из этого вывод?
А то, что оба сервиса с сетевой точки зрения до боли напоминают действия ботнета…
Я никого ни от чего не отговариваю. Мало того, признаю, что скайп — простая и ГЕНИАЛЬНАЯ штука, соединившая в себе несколько простых и умных идей (шифрование, сертификаты для автоматического доверия, «параноидальное» подключение перебором, открытие 2 сессий от 2 клиентов изнутри межсетевых экранов). И удобная для пользователя. Но это — головная боль безопасников, если надо закрыть.
И торрент, думаю, полезен многим (хотя ИМХО его влияние и популярность сильно раздуто и мне не очень понятно)…
Только одно «но»: лично я совсем не уверен, что в один непрекрасный момент миллионы компьютеров пользователей популярных сервисов не превратятся в один гигантский ботнет, от которого не будет спасения… Достаточно «обновить версию».
Я очень рад был бы ошибаться. Опровергните мои слова. И можете называть меня параноиком и паникером :)
С уважением, Сергей Федоров
