В течение месяцев, когда новые самораспространяющиеся черви - Code Red, Nimda, и т.п. путешествовали по сети, они сделали много неприятного для потребителей Микрософт информационного сервера Internet. Помимо ущерба, который они приносят, Code Red задал более вредную проблему: уязвимость вложенных устройств с IP адресами, особенно серверов, встроенных в сеть.

Черви типа Code Red распространяются, проходя через самосгенерированные списки IP адресов и обращаясь к каждому порту с адресом 80 (порт стандарта HTTP). Если сервер отвечает, Code Red посылает HTTP запрос, что приводит к переполнению буфера на неисправном сервере IIS, идущим на компромисс с целым компьютером. Nimda пробует многочисленные известные пути для атаки, с аналогичными результатами.

Помимо успешного заражения уязвимых серверов, эти черви неумышленно влияют на другие устройства, которые проверят сигналы порта с адресом 80. Cisco имеет возможность того, что некоторые из DSL программ маршрутизации являются восприимчивыми к "отказу обслуживания" в случае нападения; когда неестественные маршрутизаторы вложенных серверов Web связались по одному из-за этих червей, трассировщик идет вниз. Станции печати Hewlett-Packard и 3com Lanmodems, кажется, воздействуют аналогично; так же ведут себя, вероятно, и другие сетевые аппаратные средства инфраструктуры.

HTTP стал компьютерным общепринятым языком Internet. Web броузеры являются повсеместно эффективными, многие аппаратные и программные компании не могут сопротивляться получению функций их продуктов и, по видимому, управляются ими сети. На самом деле, все указывает на то, что все будущие устройства сети будут слушать порт с адресом 80. Это повышение доверия доступного сетевого приспособления начинает преследовать нас. Другие черви могут вызвать еще больший ущерб; Code Red - только предвестник.

Сони заявила в апреле, что применит криптографию, которая должна обеспечить все будущие продукты с IP адресами; технически неправдоподобная претензия, но, тем не менее, чистое утверждение намерения. Автомобильные поставщики экспериментируют с автомобилями, которые смогут, используя радио, управляться Web броузерами сети. Возможности для почти не прослеживаемых чудачеств совершенствования сценариев развития автомобилей после того, как разрабатывается пароль Вашего автомобиля, будет бесконечным. Эта проблема также не будет решена кодировкой движения в сети между автомобилем и броузером.

Повышение HTTP как общий знаменатель связи исходит из удобства использования, для программиста и клиента одинаково. Все, что нужно клиенту, так это Web окно просмотра и устройство обращения к IP, а они установлены. Создание легкого сервера тривиально для разработчиков, особенно когда приходящие и уходящие данные HTTP текстовые.

HTTP - не злодей. Проблема создана компаниями, которые вставляют сетевые серверы в продукты, не делая их достаточно прочными. Пуленепробиваемый проект и реализация программного обеспечения - особенно сетевого программного обеспечения - на вложенных устройствах не большая роскошь для проектирования. Ожидание надежности клиента для приспособлений под ключ более высокое, чем для базовых систем PC. Успешное проникновение Code Red червя хорошо после того, как тревога была озвучена, получение этого права стало необходимым.

Удобство реализации и небольшой размер сервера, это особенно мешает, когда программное обеспечение не создано с большей заботой. Общие ошибки, которые вызывают уязвимые места - переполнение буфера, бедная обработка неожиданных типов и сумм данных - это хорошо понятно. К несчастью, характеристики все еще, кажется, оцениваются больше среди изготовителей, чем надежность среди потребителей. До этих изменений, Code Red останется серьезной проблемой.

Подобно овце, компании и клиенты проведены по пути наименьшего сопротивления, что было вызвано удобством. HTTP: легко для того, чтобы осуществляться, легко, чтобы использовать, и легко, чтобы кооптироваться. С небольшим старанием и преднамеренностью, также легкое обеспечить и другие средства дистанционного сетевого доступа. HTTP первоначально не был предназначен для всех этих приложений, но простота применения сделала их понятными. Но с этой простотой также приходит и ответственность за их осуществление, чтобы убеждаться, что это не злоупотребление.

Эта статья была написана Stephan Somogyi и появилась в немного другой форме в Inside Risks 135, Communications of the ACM, Vol. 44, No. 10.

А также на ZDNet:

<http://cgi.zdnet.com/slink?147868:8469234>

Code Red поразил Cisco:

<http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml>

Предложение Сони назначать адресы IP во все продукты:

<http://www.nikkeibp.asiabiztech.com/wcs/leaf?CID=onair/asabt/news/129248>

Русский материал Малютина А.

Предыдущая страница Следующая страница