02:22 IPv6: угроза защите | |
Исследователи из компании InfoSec Institute продемонстрировали способ
злонамеренного использования функционала последних версий ОС Windows,
который позволяет перенаправлять сетевой трафик через сторонние
маршрутизаторы. В отчёте экспертов сообщается, что теоретически аналогичную атаку можно
предпринять и против Mac OS X, но на практике соответствующие тесты не
проводились. Windows Vista, Windows 7 и Server 2008 строились в
расчете на скорый переход к следующей версии Интернет-протокола - IPv6.
Помимо прочего, в них встроена функция поддержки стандарта безадресной
автоматической настройки сети (SLAAC), который обеспечивает успешную
коммуникацию между хостами и клиентскими компьютерами в сетях IPv6;
именно этот механизм можно эксплуатировать для перенаправления потока
данных через сетевое оборудование, находящееся под контролем
злоумышленников. Проблема состоит в том, что "благодаря"
имеющимся механизмам уязвимые операционные системы настроены
предпочитать новую версию протокола старой. Соответственно, если
злоумышленнику удастся внедрить в IPv4-сеть инфраструктурное
IPv6-устройство - допустим, тот же маршрутизатор, настроенный на работу
по новому протоколу, - то компьютеры под управлением упомянутых ОС
незамедлительно начнут передавать данные именно через этот роутер. Что
произойдет с трафиком впоследствии, зависит уже исключительно от
владельца внедренного устройства. Какого-либо взаимодействия с
пользователем описанная схема не предусматривает. Операторы рабочих
станций не получают никаких уведомлений о том, что их компьютеры
соединяются с неавторизованной сетью IPv6, и остаются в полном неведении
относительно действий злоумышленника. Поскольку в последних выпусках
Windows поддержка нового протокола включена по умолчанию, то даже
абсолютно новые компьютеры под их управлением уже готовы стать жертвами
подобной атаки. Конечно, для успешного внедрения в сеть
взломщику потребуется иметь к ней физический доступ, что представляет
определенные сложности; однако с учетом масштаба инсайдерской угрозы
этот барьер может оказаться не таким уж и непреодолимым. Одним словом,
до тех пор, пока IPv4 не выйдет из употребления, или пока в уязвимые
механизмы не будут внесены надлежащие изменения, единственным надежным
способом борьбы с подобными схемами будет обыкновенное отключение
поддержки протокола IPv6. | |
|
Всего комментариев: 0 | |