Pasibaigus metams, dažnai yra atsigręžiama į praėjusius metus ir peržvelgiami svarbiausiai įvykiai. 2008 metai IT saugumo srityje pasižymėjo bandymais „sugriauti“ internetą. Kiekvienas bandymas dar prieš atskleidžiant detales būdavo garsiai eskaluojamas žiniasklaidoje, tačiau paaiškėjus techninėms detalėms viskas baigdavosi ne taip blogai, kaip buvo skelbiama.
Pasibaigus metams, dažnai yra atsigręžiama į praėjusius metus ir peržvelgiami svarbiausiai įvykiai. 2008 metai IT saugumo srityje pasižymėjo bandymais „sugriauti“ internetą. Kiekvienas bandymas dar prieš atskleidžiant detales būdavo garsiai eskaluojamas žiniasklaidoje, tačiau paaiškėjus techninėms detalėms viskas baigdavosi ne taip blogai, kaip buvo skelbiama. Įdomu pastebėti tai, kad dauguma šių pažeidžiamumų buvo paviešinami IT saugumo konferencijose.
Norėčiau išskirti tris praeitų metų pažeidžiamumus, kurie susilaukė daugiausiai dėmesio: Dan Kaminsky DNS dizaino klaida, Robert Lee ir Jack Louis TCP/IP resursų išnaudojimo DoS atakos galimybė ir Alexander Sotirov saugumo tyrinėtojų grupės viešojo rakto infrastruktūros (PKI) pažeidžiamumas.
Pirmasis IT bendruomenę sudrebino saugumo specialistas Dan Kaminsky paskelbęs, jog aptiko kritinę DNS protokolo dizaino klaidą. Specialistas nesuskubo iškart skelbti visų techninių detalių, o pradėjo bendradarbiavimą su DNS programinės įrangos gamintojais siekiant sumažinti pažeidžiamumo išnaudojimo mastą iš anksto paruošus pataisymus. Taip pat pažadėjo paviešinti informaciją IT saugumo konferencijoje „BlackHat“. Prasidėjo masinis problemos aptarinėjimas ir pažeidžiamumo detalių paieškos, galiausiai saugumo specialistų komanda Matasano „netyčia“ savo tinklaraštyje paskelbė savo spėjimą, kuris, kaip Dan Kaminsky patvirtino, pasirodė esąs tikrosios pažeidžiamumo detalės. Spraga DNS protokolo realizacijoje pasireiškė dėl nepakankamo atsitiktinių šaltinio prievadų generavimo. Plačiau apie šį pažeidžiamumą jau rašėme. Kaminsky ir programinės įrangos gamintojų bendradarbiavimas padėjo nuslopinti pažeidžiamumo išnaudojimo mąstą, todėl pažeidžiamumas neprivedė interneto prie „kracho“, kaip kad skelbė žiniasklaidos priemonės. Nepaisant to, ne visi administratoriai, ir netgi didelių kompanijų, tokių kaip interneto tiekėjai, suskubo diegtis pataisymus, taigi pasitaikė pavienių atakų prieš DNS sistemas.
Vėliau pasirodė TCP/IP steko pažeidžiamumas. Du saugumo specialistai Robert Lee ir Jack Louis, kaip jau tapo madinga pasiskelbė, kad atrado naują TCP/IP steko realizacijos klaidą, kuri leidžia įvykdyti atsisakymo aptarnauti ataką prieš beveik bet kurią TCP/IP palaikančią sistemą. Techninės detalės ir šį kartą turėjo būti paskelbtos IT saugumo konferencijoje, o spaudoje mirgėjo antraštės: „Nauja atsisakymo aptarnauti ataka žudo“, „DoS ataka atskleidė spragą tinklo šerdyje“. Žinomas tinklo saugumo specialistas Fyodor, sukūręs NMAP tinklo prievadų skenerį, paneigė atakos autentiškumą, teigdamas, jog atrasta ataka tėra seniai žinomos atakos modifikacija. Pagrindinė atakos idėja yra priversti atakuojamą sistemą sukurti daugybę fiktyvių TCP sesijų ir taip išnaudoti visus sistemos resursus. Fyodor pateikė paprastą, bet efektyvų atakos scenarijų: atakuojančiojo sistemoje sukuriama ugniasienės taisyklė blokuojanti visus iš atakuojamos sistemos ateinančius paketus, kadangi operacinė sistema gavusį nelauktą TCP SYN/ACK paketą siunčia ryšio nutraukimo paketą TCP RST, po to yra siunčiama daugybė TCP SYN paketų, siekiant inicijuoti susijungimus. Gavus ryšio sutikimo paketus TCP SYN/ACK iš atakuojamos sistemos, atakuojantysis naudodamas vartotojo lygio priemones stebi grįžtančius paketus ir naudodamas jų ISN ir kitą informaciją siunčia susijungimo patvirtinimo paketus TCP ACK. Tokiu būdu pažeidžiamoje sistemoje sukuriama daugybė užmegztų TCP susijungimų, kurie išnaudoja sistemos resursus. Daugeliu atveju to pakanka visiškai sutrikdyti sistemos funkcionalumą. Egzistuoja daugybė atakos modifikacijų, kurias Robert Lee ir Jack Louis tikriausiai norėjo pateikti kaip naujieną. Deja, vykusioje saugumo konferencijoje tyrinėtojai minėtos atakos detalių neatskleidė, tačiau pažadėjo atskleisti kažkada 2009 metais.
Paskutinio bandymo sugriauti internetą žinia mus pasiekė besibaigiant metams. Alexander Sotirov su grupe saugumo tyrinėtojų paskelbė, kad rado būdą kaip paralyžiuoti šiuolaikinio interneto darbą. Pažeidžiamumo detalės turėjo būti atskleistos žymiausioje Europos IT saugumo konferencijoje CCC. Net pranešimo turinys buvo laikomas paslaptyje, buvo pateiktas tik intriguojantis paveikslėlis.
Konferencijoje paviešinus detales išaiškėjo, jog pažeidžiamumas įtakojo viešojo rakto infrastruktūrą, o konkrečiai atsiranda galimybė suklastoti CA (Certificate Authority) sertifikato parašą. Tokia galimybė kyla dėl MD5 maišos funkcijos naudojimo pasirašant sertifikatus. MD5 jau seniau buvo pripažintas nesaugiu, dėl kolizijų, t. y. galimybės gauti tokius pačius „hashus“ iš skirtingų duomenų. Sėkmingai atlikus ataką gaunamas patikimas CA sertifikatas.
Toks sertifikatas bus pripažintas visų šiuolaikinių interneto naršyklių, nes atrodys kad jį pasirašė vienas iš pagrindinių CA. To pasekoje įsilaužėliai gauna galimybę vykdyti „man-in-the-midlle“ atakas prieš įvarius komercinius interneto resursus. Nors vėl ataka buvo pristatoma grėsmingai, tačiau ir šį kartą interneto nesugriovė. Daugelis pagrindinių CA sertifikatus pasirašinėja naudodami saugesnes kriptografines funkcijas. Tyrinėtojai nustatė, jog 6 sertifikavimo centrai vis dar naudoja MD5, tačiau tik vieno iš jų (RapidSSL) sertifikatai yra plačiai paplitę. Ataka plačiai nepaplito, kadangi norint rasti MD5 koliziją reikia didelių skaičiavimo pajėgumų, o su laiku visi pažeidžiami sertifikatai bus pakeisti.
Taigi, 2008 metai mus „baugino“ įvairiais įdomiais pažeidžiamumais, kurie nebuvo tokie baisūs kaip buvo norima parodyti ir interneto visgi nesugriovė. 2009 metais turėtume vėl sulaukti „viską griaunančių“ pažeidžiamumų ir atakų, tačiau jos nebūtinai bus tokios pavojingos, kokios gali būti vaizduojamos.
