Zapomnij o zero-day. Szykuj się na ZMap

Zagrożenia klasy zero-day zostaną wkrótce relegowane do kategorii niezbyt pilnych. Hakerzy mają już narzędzie, przy którym atak dnia zerowego wygląda jak osobowy przy Pendolino.

Czterdzieści pięć minut. Tyle potrzebuje nowe narzędzie ZMap (http://zmap.io) stworzone przez badaczy z Uniwersytetu w Chicago, aby wykonać kompletną mapę sieci… internet, a dokładnie całej przestrzeni adresów IPv4. Nie potrzeba żadnej wielkiej farmy – wystarczy jeden średniej klasy serwer wpięty do szkieletu sieci z dobrym widokiem na świat i przepływnością 1 Gb/s w obie strony.

ZMap wykorzystuje jądro systemu Linux do wysyłania na określony port zdalny pakietów TCP SYN lub ICMP, a także datagramów UDP z prędkością przekraczającą 1,4 mln pakietów na sekundę. Tak duża szybkość wynika z faktu, że pakiety wysyłane są jako ramki Ethernet, z pominięciem śledzenia stanu połączeń TCP i sprawdzania tabel routingu. Narzędzie jest wyposażone w API do tworzenia rozszerzeń, dzięki czemu rezultaty pierwszej fali skanowania mogą stanowić wsad do kolejnych, czy też równoległych, np. prowadzonych już w wyższej warstwie (SSL, HTTP itd.).

Co być może…

Pierwszy, najbardziej oczywisty skutek rozpowszechnienia się tego skądinąd pożytecznego i dobrze przygotowanego narzędzia open source to skokowy wzrost skali potencjalnych ataków DDoS – o kilka rzędów wielkości! To tylko najprostszy scenariusz. Znacznie bardziej groźna jest możliwość wysyłania spreparowanych datagramów i sprawdzanie odzewu na nie. Przy tej wydajności znalezienie potencjalnych botów, zwłaszcza serwerowych, i automatyczne infekowanie ich zaczyna wyglądać przerażająco.

To nie koniec. Jeśli skany będą (a będą) prowadzone na wielką skalę przez dużą liczbę wyspecjalizowanych – użyjmy określenia – ośrodków, szansa na zorganizowanie jakiegokolwiek sensownej reakcji na atak spadnie praktycznie do zera. Wystarczy drobna nieuwaga i wszystkie dostępne warianty podatności na wszystkich warstwach, na wszystkich adresach zostają sprawdzone. Żaden system oparty na zasobach ludzkich nie jest w stanie podołać tak sprawnej machinie sterowanej przez zdeterminowanych fachowców.

Kontrola totalna?

Po drugiej stronie barykady również będzie ciekawie, choć, niestety, nie od jutra – i raczej nie za darmo. Intel ogłosił właśnie, że wdrożył samodzielnie stworzone rozwiązanie analizujące w czasie rzeczywistym każde połączenie w sieci wewnętrznej. Mowa o 4 do 6 mld połączeń dziennie. Połączenia są badane pod każdym względem, z treścią pakietów włącznie. Wydajność zapewnia narzędziu dedykowany klaster Hadoop, którego skali firma nie ujawniła. Oficjalnie celem narzędzia jest zapobieganie kradzieży własności intelektualnej, ale oczywiste jest, że lista zadań jest dłuższa.

Intel przekazał rozwiązanie do eksploatacji, a jednocześnie do działu McAfee, co ani chybi oznacza plany jego wprowadzenia do produkcji. Łatwo jednak nie będzie. O ile w testach we własnej sieci można było liczyć na dostęp do dokumentacji i współpracę z administratorami, o tyle produkt musi nadawać się do wdrożenia w różnych warunkach. Wielce prawdopodobne, że mimo to wysiłek zostanie podjęty, i to nawet jeśli klientela komercyjna ostatecznie nie dopisze. Takie narzędzie wygląda przecież atrakcyjnie dla wszelkich służb państwowych.

Zmiany będą na pewno

Zakładając hurraoptymistycznie, że narzędzia analogiczne do tych, jakie przedstawił Intel, upowszechnią się w ciągu kilku lat, ostateczny wynik rozgrywki i tak wydaje się przesądzony. ZMap pozwala wygenerować cały ocean pakietów za pomocą jednego serwera. Z kolei do zapobieżenia skutkom takiego potopu potrzebna jest znacznie większa i bardziej złożona infrastruktura, a także zasoby ludzkie.

Administratorzy bezpieczeństwa będą musieli zastanowić się, jak stawić czoła nowej klasie superszybkich zagrożeń. Być może, zamiast kolejnej warstwy zabezpieczeń, trzeba będzie uprościć infrastrukturę, aby móc lepiej panować nad jej bezpieczeństwem? Być może okaże się, że firma jest w stanie się obyć bez zdalnego dostępu na poziomie sieci? Być może okaże się, że scalanie systemów do zarządzania treścią publicznych i wewnętrznych witryn www nie jest najlepszym pomysłem, pomimo ewidentnych korzyści biznesowych? Czas pokaże.

Atak DDoS to tylko przykrywka

Dodatkowe ryzyko związane z upowszechnieniem się ZMap lub narzędzi do niego polega na tym, że zmasowany atak DDoS posłuży jako działanie wiążące zasoby organizacji, aby umożliwić wykonanie ataku na upatrzone cele. W ten właśnie sposób włamywacze osaczyli ostatnio kilka amerykańskich banków, których nazw nie podano. Jak donosi „Secure Business Intelligence Magazine”, banki zajęte eliminowaniem długotrwałych ataków DDoS straciły miliony dolarów na skutek włamania do systemów zajmujących się przelewami międzybankowymi. Nawet jeśli włamanie wymagało odrębnych przygotowań w postaci kradzieży czy wyłudzenia tożsamości pracownika banku, ostateczny łup hakerów przewyższał koszty.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200