Jedenaste nie toleruj P2P
-
- 30.05.2005
Udostępnianie danych
Istotą sieci P2P jest współdzielenie zasobów. Typowy program kliencki P2P jest skonfigurowany tak, by współdzielić pliki leżące w konkretnych katalogach. O ile rozsądni miłośnicy P2P przygotowują osobny katalog, ustawiając odpowiednio uprawnienia NTFS, typowy "ssacz" ustawi np. "Moje dokumenty" albo wręcz cały dysk C:. Najnowsze wersje programów zostały przygotowane do tego, by uchronić użytkownika przed niezamierzonym współdzieleniem całej zawartości komputera i tworzą własny katalog do udostępniania plików.
Życie pokazuje, że nie takie przeszkody można "nieświadomie" pokonać. Kto nie wierzy, niech zainstaluje dowolnego klienta sieci Edonkey2000 (np. Emule) i poszuka dokumentów *.doc albo *.xls. Co prawda większość z nich to są dokumenty osób prywatnych (dzięki czemu w wielu przypadkach policja ma łatwiejsze zadanie przy namierzeniu "ssacza"), ale trafiają się również dokumenty ewidentnie biznesowe.
Już samo zainstalowanie programu P2P może być przyczyną wycieku dokumentów z firmy. O ile wysłanie takich dokumentów pocztą elektroniczną pozostawia ślady na serwerze (wiele firm monitoruje pocztę elektroniczną, bez względu na to, czy jest to dozwolone, czy nie), o tyle "wystawienie" pliku w usłudze P2P w tych samych firmach przeszłoby bez śladu. Wielokrotna kompresja pliku z zabezpieczeniem silnym hasłem na każdym etapie kompresji (archiwa zagnieżdżone) poważnie utrudnia rozpoznanie rzeczywistej zawartości. Archiwum zapisywane jest następnie pod nazwą niewzbudzającą podejrzeń, a dodatkowo osadzana w obrazku lub zabawnym filmiku. W wielu wypadkach wciąż działa prosty trik polegający na zmianie rozszerzenia pliku z zip na jpg czy pdf. Programy P2P bardzo dobrze radzą sobie z dużymi plikami i ściągnięcie nawet gigabajtowego archiwum nie stanowi problemu. Aby nie wywoływać nadmiernego ruchu w krótkim czasie, można w opcjach ograniczyć transfer (np. do 2 kB/s), a także liczbę równoczesnych połączeń. Działanie to wydłuży przetransferowanie dużych plików, ale zmniejszy również prawdopodobieństwo wykrycia.
Wykonałem próbę w postaci "wystawienia" archiwum o objętości 500 megabajtów za pomocą sieci Edonkey2000 właśnie przy bardzo ograniczonym transferze. Jest to jak najbardziej wykonalne, wymaga jedynie cierpliwości. Po dokonaniu pewnej korekty w konfiguracji klienta tej usługi, można uniknąć alarmu nawet jeśli na brzegu sieci działa serwer proxy, a nawet gdy wykorzystywany jest system zapobiegania włamaniom - pod warunkiem jednak jego niezbyt restrykcyjnej konfiguracji. Programom P2P niestraszna jest także translacja NAT. Niektóre potrafią imitować połączenia w sesjach HTTP, bardzo dobrze udając przeglądarkę Internet Explorer 6.0 SP1.
Niewiele firm monitoruje cały ruch internetowy, tak by mieć archiwizację wszystkich pakietów, które przechodzą przez bramę do sieci. Na pewno robią to banki internetowe, a także niektóre firmy przygotowujące się do zgodności z ustawą Sabarnes-Oxley Act, ale takich firm jest w Polsce relatywnie mało. Pozostałe tego nie robią i zapewne robić nie będą, choćby ze względu na koszty i problemy z analizą zebranych danych. Stosunek nakładów do efektów jest w tym przypadku niezbyt imponujący.
Do wyprowadzenia z firmy większej ilości danych szczególnie dobrze nadają się programy: Emule/Kad i BitTorrent. Oprócz klienta P2P działającego w sieci LAN potrzebny jest komputer działający w sieci publicznej (z publicznym adresem IP). Do uzyskania połączenia wystarczy, by druga strona mogła przyjmować połączenia przychodzące, zaś z sieci lokalnej udało się to połączenie zestawić (bezpośrednio lub poprzez proxy). Dzięki utworzonemu w ten sposób tunelowi atakujący działający poza siecią LAN może ją spenetrować w poszukiwaniu interesujących plików. Wystarczy te pliki udostępnić "hurtowo" w kliencie P2P. Dzięki elastyczności sieci P2P, klient pobierający pliki może mieć dynamicznie ustalany adres IP, w wyniku czego jest bardzo trudny do "namierzenia" przez administratora sieci - w takich przypadkach mógłby on co najwyżej zgłosić sprawę organom ścigania - dane i tak już przepadły.
Rachunek dziś lub jutro
Oprogramowanie P2P istnieje i jest używane powszechnie, przy czym jego legalne zastosowania, np. przyspieszanie pobierania najnowszych wersji dystrybucji Linuxa są marginalne. Dopuszczanie w firmowej sieci oprogramowania do wymiany plików to zgoda na wszystkie konsekwencje, jakie mogą z tego wyniknąć - zarówno finansowe, jak i karne. Groźba kary za niedopełnienie należytej staranności jest dla wielu administratorów nierealna.
Do rozsądku powinny im jednak przemówić względy bezpieczeństwa sieci i aplikacji - te bowiem mogą być zagrożone przez krążące w sieciach P2P programy szpiegujące, wirusy, rootkity i wszelkie inne niepożądane narzędzia. Ten scenariusz może ziścić się w każdej chwili - osoby zainteresowane kradzieżą danych to nie wymiar sprawiedliwości - zawsze działają szybko i sprawnie, a ich narzędzia są doskonalone z dnia na dzień.
Poza tym znajdzie się wielu, którzy za pośrednictwem sieci P2P stworzą nielegalne sieci dystrybucji pirackich treści, wykorzystując firmy, które nie mają dość siły, by zabezpieczyć swoje sieci, jako "współfinansujących" te przedsięwzięcia. Jak bowiem inaczej nazwać niekontrolowane wykorzystanie pasma sieci WAN i komputerów firmy do tego, do czego nie zostały przewidziane?
Emule/Edonkey2000
Sieć działająca z wykorzystaniem dedykowanych serwerów ułatwiających wyszukiwanie. Typowym portem, na którym pracuje Edonkey/Emule jest TCP 4662. Wiele klientów wykorzystuje także port UDP 4672. Klient Emule posiada funkcjonalność sieciową Kad Network, która zapewnia znacznie lepsze wyszukiwanie niż wyszukiwanie globalne za pomocą serwerów Edonkey. Bardzo dobrze radzi sobie z dużymi plikami, dzięki pobieraniu segmentów równolegle od wielu klientów oraz stosowaniu kontroli zawartości za pomocą funkcji haszujących. Najczęstszym zagrożeniem są wirusy, gdyż klient tej sieci zapisuje pliki tymczasowe niesekwencyjnie. Nie każdy program antywirusowy daje sobie radę z tak zapisywanymi plikami.
Gnutella
Sieć ta jest z założenia decentralizowana. Powstała jako następca popularnego swego czasu Napstera, twórcą była firma Nullsoft - ta sama, która stworzyła program WinAMP. Typowym portem, na którym pracuje Gnutella, jest 6346. Typowymi danymi udostępnianymi w tej sieci są multimedia. Powstał także nieco różniący się od oryginału protokół Gnutella 2. Najpopularniejszymi klientami Gnutelli dla środowiska Windows są: Bearshare (podejrzewany o spyware), a także programy klienckie dostępne na zasadach open source, jak np. Limewire czy Gnucleus.
KaZaA
Usługa promowana przez firmę Sharman Networks wykorzystująca protokół FastTrack. Najpopularniejszym klientem jest KaZaA Desktop, choć istnieją niezależne programy klienckie niezawierające modułów szpiegujących. Typowym portem, na którym pracuje ta sieć, jest 1214, ale dzięki elastyczności sieci może wykorzystywać także popularne porty otwarte na zaporze sieciowej, takie jak 80 i 443. FastTrack ma kilka słabości i stosunkowo prosto można zablokować logowanie się klienta do sieci. Słabość polega na "zaszyciu" w programie listy adresów IP węzłów koordynujących. Zablokowanie ich poważnie utrudnia zalogowanie się do sieci temu klientowi. Typowymi danymi udostępnianymi w sieci FastTrack są multimedia. Najczęstszym zagrożeniem jest spyware i wirusy (dotyczy to głównie starej, niezbyt dobrze zabezpieczonej wersji KaZaA Media Desktop)
FreeNET
To całkowicie zdecentralizowana sieć dystrybucji informacji zapewniająca publikującemu anonimowość i bezpieczeństwo. Aby móc poznać publikacje w tej sieci, należy znać klucz, pod którym ona występuje - dzięki temu jest niewrażliwa na jakąkolwiek cenzurę. Najpopularniejszym klientem FreeNET jest aplikacja napisana w języku Java. Po uruchomieniu aplikacji należy użyć przeglądarki, łącząc się na adres własnego komputera oraz wybrany uprzednio port. Nie ma ustalonego portu komunikacyjnego, z którego korzysta - można użyć dowolnego. W tym wypadku trudno mówić o typowych zagrożeniach, takich bowiem nie ma.
DirectConnect (DC++)
To program do współdzielenia danych wykorzystujący serwery koordynujące (huby). Centra te służą jedynie do zapewnienia wyszukiwania i komunikacji. Użytkownicy DC++ tworzą społeczności wokół hubów, bowiem program jest jednocześnie komunikatorem. Większość hubów wymaga pewnego minimum udostępnianych zasobów. Zasoby udostępniane przez użytkowników DC++ zależą od lokalnej społeczności, jednak przeważają multimedia i programy. Typowym zagrożeniem są wirusy.
BitTorrent
Program powstał jako mechanizm do szybkiego pobierania dużych plików w sytuacji, gdy większość użytkowników udostępniających dane ma niewielkie pasmo "w górę". Jednym z jego zastosowań była dystrybucja obrazów instalacyjnych systemu Debian Linux, ale oczywiście nie jedynym. Program działa w ten sposób, że pobrany ze strony WWW krótki plik tekstowy.torrent zawiera opis obiektu, a na jego podstawie program znajduje osoby, które ten plik właśnie pobierają. Pobieranie pliku odbywa się partiami, ale bardzo szybko, nie ma bowiem typowych dla sieci Edonkey kolejek. Sama sieć BitTorrent nie posiada dobrze działającego wyszukiwania - użytkownicy pobierają pliki.torrent udostępniane poprzez WWW albo inne sieci P2P. BitTorrent używa portów TCP z przedziału 6881-6999. Typowym zagrożeniem są wirusy, chociaż jest ono nieco mniej prawdopodobne niż przy innych sieciach.
