Názory k článku Úspěšný útok na Internet - I ?

Možná zme se ve škole učili, že střed Atlantiku je tektonicky aktivní, ale dnes už je jasné, že to není pravda. Jak by tam asi ty kabely vydrželi (ve výlevající se lávě) ? Stačí trochu přemejšlet a pak by autor nepsal takový bludy.

Prosim nepredstavujte si tektonicky aktivni uzemi jako uzemi s trvalym vyronem lavy. Je to uzemi, kde dochazi casto k tektonicke cinnosti (nejen vyrony lavy, ale treba zemetreseni). <P>
Podmorske kabely jsou kladeny tak, aby se vyhybaly nejexponovanejsim mistum atlantickeho hrbetu, nicmene ten clanek musi pocitat i s nepravdepodobnymi scenari.

No je fajn, ze se zde obcas objevi aspon nejaka filozoficka uvaha ci polemika okolo nejakeho tematu. Oproti komentovani deni je prima relaxace si neco takoveho precist, i kdyz jsem se prakticky nic noveho nedozvedel :-)

Cesky spravne a jedine je internet s malym i!
Zapamatujte si to uz jednou pro vzdy!

Dobry den,
tento argument mi prijde velmi slaby (i kvuli tomu, ze didaktik dela pravopisne chyby). :-)

A ve kterem RFC je to definovano?
"Pravidla ceskeho pravopisu", menici se stejne casto jako jizdni rady MHD, nepovazuji za referencni prirucku...
:-)

Pravidlo o psaní velkých písmen na začátku vlastních jmen se snad tak často nemění :-) V tomto článku bych byl ale spíše pro velké "I" (tak, jak v článku je), protože zde má autor na mysli jednu konkrétní síť, postavenou na protokolu TCP/IP a dokumentech RFC, tak, jak je uvedeno na začátku článku. Internet s malým "i" pak znamená spíše (přenosové) médium - "najdi si to na internetu podobně" jako "viděl jsem v televizi" apod. U internetu je ten problém, že je jen jeden a jmenuje se taky Internet - kdyby bylo internetů více, jmenovaly by se třeba Český internet, Internet Nova, Prima internet atd. :-) A internet by znamenalo kterýkoliv z nich. (Ostatně byly doby, kdy to vypadalo, že budeme mít akademický Internet a vedle alespoň MSNinternet, dnes mám občas pocit, že je snaha vybudovat AOLinternet).

posledni zmenou pravidel ceskeho pravopisu byla prave mala/velka pismena...

Ano, ale nikoli ve vlastních jménech, ale ve zjednodušení psaní místních názvů, kde není jasné, zda se jedná o vlastní jméno. Čistě technicky tedy pouze přibyl okruh slovních spojení, kde se píše velké písmeno na začátku slova. Vlastní jména se ale psala s velým písmenem na začátku před změnou pravidel i po ní.

Clanok vynikajuci, diskusia uboha. Priznam sa, cakal som reakcie IP problematiky znalych.

Preberali sme podobne scenare s priatelmi viac krat a vzdy vysiel internet ako potecialne lahky ciel, ak by sa pouzili spravne postupy. Cudujem sa ze to este nikto neskusil.

Zkuste nektere z tech scenaru popsat. Pokud to bude zajimave, urcite prispejete kvalite teto diskuse. Podotykam, ze predmetem tohoto clanku je Internet jako infrastruktura.

... niekedy pri pive alebo cez "x" kanal, nieje nutne aby nejaky lamer zajtra skusal to co si dnes precita...

uz to co ste napisal je dost "pouzitelne"

cryptcat 195.180.165.165:26

BTW myslenku utoku "velkym zavirovanim" rozvadi zname kvitko Zalewski ve svem povidani o WormNetu (viz google: wormnet zalewski) publikovanem v dobe medialniho humbuku kolem viru jako ILoveYou.

Vcetne toho, ze chtel pomoci tech viru utocit na infrastrukturu?

Predpokladam, ze jsi to cetl :-)

Nepsal, ze by chtel utocit, ale je zjevne, ze to chtel umoznit.

Zjednodusene receno, vytycil zakladni cile wormnetu (cituji):

1: Portability - worm must be architecture-independent, and should work on different operating systems (in fact, we focused on Unix/Unix-alikes, but developed even DOS/Win code).

2: Invisibility - worm must implement stealth/masquerading techniques to hide itself in live system and stay undetected as long as it's possible.

3: Independence - worm must be able to spread autonomically, with no user interaction, using built-in exploit database.

4: Learning - worm should be able to learn new exploits and techniques instantly; by launching one instance of updated worm, all other worms, using special communication channels (wormnet), should download updated version.

5: Integrity - single worms and wormnet structure should be really difficult to trace and modify/intrude/kill (encryption, signing).

6: Polymorphism - worm should be fully polymorphic, with no constant portion of (specific) code, to avoid detection.

7: Usability - worm should be able to realize choosen mission objectives - eg. infect choosen system, then download instructions, and, when mission is completed, simply disappear from all systems.

A z bodu "learning" a "usability" mi moznost takovehoto utoku pomerne jasne vyplyva.

Ale dale jsem to nesledoval, takze nebudu spekulovat, nakolik to byla jen teoreticka studia ci mirne rozpracovany projekt, a nakolik se to da vnimat tak, ze se MZ chysta "znicit Internet" :-)

jeste jednou a lepe:

Predpokladam, ze jsi to cetl :-)

Nepsal, ze by chtel utocit, ale je zjevne, ze to chtel umoznit.

Zjednodusene receno, vytycil zakladni cile wormnetu (cituji):

1: Portability - worm must be architecture-independent, and should work on different operating systems (in fact, we focused on Unix/Unix-alikes, but developed even DOS/Win code).

2: Invisibility - worm must implement stealth/masquerading techniques to hide itself in live system and stay undetected as long as it's possible.

3: Independence - worm must be able to spread autonomically, with no user interaction, using built-in exploit database.

4: Learning - worm should be able to learn new exploits and techniques instantly; by launching one instance of updated worm, all other worms, using special communication channels (wormnet), should download updated version.

5: Integrity - single worms and wormnet structure should be really difficult to trace and modify/intrude/kill (encryption, signing).

6: Polymorphism - worm should be fully polymorphic, with no constant portion of (specific) code, to avoid detection.

7: Usability - worm should be able to realize choosen mission objectives - eg. infect choosen system, then download instructions, and, when mission is completed, simply disappear from all systems.

A z bodu "learning" a "usability" mi moznost takovehoto utoku pomerne jasne vyplyva.

Ale dale jsem to nesledoval, takze nebudu spekulovat, nakolik to byla jen teoreticka studia ci mirne rozpracovany projekt, a nakolik se to da vnimat tak, ze se MZ chysta "znicit Internet" :-)

Jsem jen trochu pouceny koncovy uzivatel, vim k cemu je IP adresa (a ze se pracuje na novem tvaru(standartu)teto adresy). A vim kde nastavit TCP aby mi bezela lokalni sit.
Vubec nemam tuseni jakou ulohu "RFC" a "BGP-4" maji v celoplanetarni siti a co se pod temito zkratkami skryva.

A jestli je to tak nezbytne nutne, tak tu nechte par odkazu kde bych mohl tuto zalzitost hloubeji prostudovat.

Porebuji to k vytvoreni metropolitni site?

Vubec nemam tuseni jakou ulohu "RFC" a "BGP-4" maji v celoplanetarni siti a co se pod temito zkratkami skryva.

RFC (Request For Comments) je označení dokumentů, mezi nimiž je mimo jiné specifikace většiny protokolů používaných na Internetu. BGP-4 (Border Gateway Protocol) je protokol, který používají routery k předávání informací o dostupnosti jednotlivých částí sítě.

A jestli je to tak nezbytne nutne, tak tu nechte par odkazu kde bych mohl tuto zalzitost hloubeji prostudovat.

Nejhlouběji asi přímo u pramene, tedy RFC Editor. Jinak pro začátek bych doporučil něco stravitelnějšího, třeba Introduction to the Internet Protocols nebo TCP/IP introduction (vyhledáno Googlem, neprohlížel jsem je podrobně, ale vypadají jako docela dobrý úvod). Zda je to opravdu nutné, záleží na tom, jakým způsobem hodláte Internet využívat.

Porebuji to k vytvoreni metropolitni site?

Asi ano, zejména v prvním případě. Měl bych obavy připojovat se do metropolitní sítě vytvořené někým, kdo nemá tušení, co je to RFC.

>V našem případě by se jednalo na potřebu nalézt chybu nebo
>zadní vrátka v implementaci TCP/IP nebo BGP-4 ve
>směrovačích CISCO Systems nebo Juniper Networks, které
>jsou nasazeny na rozhodujících místech Internetu

To jsou jako ty zarizeni cerne krabicky s implemetanci IP a BGP-4 a neni zadne jine rozhrani, napriklad rozhrani pro administraci? To mi pri vsem respektu k autorovi prijde jako ukazka mysleni cloveka, ktery "se zabyva Internetem a telekomunikacemi, jeho specializací je fungování Internetu a vztahy mezi subjekty na internetovém a telekomunikačním trhu", ktery se ale nezabyva bezpecnosti.

"Rozhodujici misto Internetu". Kdyby se podarilo zasahnout treba 40% vsech smerovacu bez ohledu na velikost, bylo by to taky rozhodujici. Jak to udelat? Najit chybu v SNMP nebo v dostatecne casti jeho implementaci. To jde, to uz se jednou podarilo - stacilo vytvorit obecny nastroj pro testovani cele tridy chyb. (Projekt Protos http://www.ee.oulu.fi/research/ouspg/protos/)
Samozrejme bychom se neobesli bez distribuovanosti utoku.

>Genialitu nebudeme potřebovat při distribuci a
>zabudovávání trojských koňů do systémů (to vyřeší
>jednoduchost uživatelů), ale pro vynalezení dostatečně
>generického útoku a hlavně koordinaci takového útoku. Není
>totiž v našem zájmu, aby se nakažený počítač nějak >prozradil (nevěřte tomu, že někomu neběží systémový čas o
>měsíc napřed) -- předčasné odhalení útoku zcela jistě >povede k protiopatřením ze strany administrátorů velkých >sítí.

Jak zajistit koordinaci utoku?

-v podstate jde o to, aby si nikdo na svete nevsiml, ze se siri cerv, a ze chce utocit na internet.

Jak zajistit, ze nikdo nezjisti, co chce virus doopravdy udelat: cerv posloucha prichazejici packety, a zkousi, zda se nehodi jako privatni cast k verejnemu klici, ktery si cerv nese s sebou. Pokud se hodi, privatnim klicem se desifruje klic symetricke sifry, kterym se desifruje payload, obsahujici utok na internet. Proti utocnikovi je schopnost sveta kod rozlustit i bez klice.
Plaintext kodu samozrejme onen spousteci "klicek od pandoriny skrinky" obsahuje a po spusteni pilne vysila na vsechny strany, aby probudil ostatni spici cerviky.

Zajistit, ze si nikdo na svete nevsimne, ze se siri nebezpecny cerv, IMHO nejde. Naopak zlehcene "umiseni jako trojanu do rozsireneho software" je cesta, ktera spolu s predchozim postupem cini utok dokonale realny.

Samozrejme nejlepsi reseni koordinace je genialne "jednoduche". Nic nekoordinovat.
Rozsirit cerva tak rychle, ze nestihne dostatecny pocet administratoru zareagovat. Utocit okamzite nebo v t+30min (viz zname uvahy warhol worm, flash worm)

>Dostatečnou generičnost útoku je podle mého názoru možné
>zajistit tak, že útočíme na stroj, který je o jeden skok
>blíže (viz. příkaz tracert či traceroute) než první, který
>neodpovídá. Prvním může být náhodně některý z kořenových
>nameserverů -- můžeme plýtvat výkonem, počítačů máme dost.

No tak to uz je celkem mensi problem, pokud se genericnosti mini, ze utok je natolik obecny, ze dava smysl na kazdem pocitaci, a ze nepostihuje celou sit. Napad s traceroutem ke korenovym nameserverum je ovsem dobry, utok na dns jako vedlejsi efekt :)

Na zaver link na jeden text na toto tema (zajimavejsi nez clanek, clovek se i ledacos dozvi :)
http://www.cs.berkeley.edu/~nweaver/cdc.web/
(uznavam, ze je velmi obtizne napsat tak zajimavy clanek :))

---

Ad Zalewskeho wormnet - takove uvahy nevedl jen Zalewski. Zalewskeho material klade trochu hypertrofovany duraz na multiplatformnost a prenositelnost, a snad i ruzne prakticke pokusy byly spis v oblasti prenositelneho viroveho kodu. Instalaci nektere verze internet exploderu je zrejme daleko vic, nez instalaci vsech programu schopnych kompilovat ccko dohromady.

---

Pokud dokazu odhadnout, je realizace cerva, podporujciho netrivialni wormnet, kryptograficky zabezpecene pluginy, teoreticky popsane maximalne efektivni metody sireni atd. mirne za dnesnimi hranicemi moznosti nejlepsich "skupin tvurcu viru".

Co nas v tuto chvili deli od uspesneho utoku na {i)Internet?
IMHO potrebne znalosti a schopnosti ma tak 100000 lidi, z nichz by se muselo dat tak 10 dohromady. Navic by to chtelo nejake penize a nesmela by si jich vsimnout nejaka bezpecnosi slozka a pod, cili samotny projekt by mel dost vysoke naroky na bezpecnost. Od uspesneho utoku na {i)Internet nas IMHO deli to, ze 99,99% z onech lidi, kteri "mohou", nejsou blazni, teroriste a jini posuci a {i}Internet znicit nechteji.

Jenze 0.01% z tech 100000 lidi dava prave cislo to vami uvadene cislo 10. Ted uz jenom aby splnili ty dve dalsi podminky (penize a zabezpeceni).

Jeste se taky museji najit a dat dohromady, coz je slozite pri pozadavku na utajeni.

"Obranci" taky nestoji na miste.

Mam jen drobnou pripominku k tomu, ze "CISCO a Juniper jsou cerne krabicky bez moznosti administrace".

Souhlasim s tim, ze je mozne vest uspesne utok proti implementaci jinych protokolu (ano, SNMP je jeden z nich), nicmene omezite si tak velikost cilove skupiny. Nedelal jsem zadne sofistikovane testy poctu smerovacu, ktere jsou dostupne pres SNMP, nicmene zajmove paterni site bohuzel umoznuji pristup pouze z vyhrazenych subsiti.

Nesouhlasim s tim, ze kdyby se Vam podarilo zasahnout 40% smerovacu bez ohledu na velikost, pujde o likvidaci Internetu. Zkuste ci vycislit, kolik smerovacu bezi v CR a kolik z nich jsou smerovaci ISP - a kolik z nich jsou smerovace, ktere nelze nahradit. IMHO byste vyradil z provozu homogenni celky (ve smyslu jednotlivych firem), ale nikoliv vyrazeni Internetu ve smyslu geografickem.

Ale jinak diky za prispevek :-)

je tezke urcit barvy "cernych" skrinek, vice mene jsou do modra, cisco modrozelene?

Dalsim dobrym duvodem proc by nejaka vlada mohla chtit vyrazne omezit nebo zcela zakazat uzivani Internetu na svem uzemi je to, ze jej mohou vyuzivat k tezko sledovatelne komunikaci teroriste a navic se po nem siri navody na vyrobu zprani ...

Likvidaci Internetu z uvedeneho duvodu by pak bylo nutne vyhodnotit jako obzvlast vydareny teroristicky utok proti Internetu ...

;-)

Nicmene - na vaznejsi notu - pokud si dobre pamatuji, neni to zas az tak davno, co doslo k uspesnemu utoku na root-servery ze strany jednoho z alter-nicu, ktery dokazal nahradit zone v nekolika root serverech obsahem, ktery se mu libil vic. Kdybych byl terorista ja, rozhodne bych se pokusil najednou zlikvidovat vsechny root-namervery. IP konektivitu by to sice nenarusilo, presto by to provoz Internetu velice vazne ochromilo. Ale je mozne, ze jsem uplne vedle - preci jen, nejsem stary zkuseny terorista ...

utok na DNS servery bude popisovan v ramci utoku na internet (male "i").

To uz bylo pred vice nez 5 lety a byl to Eugene Kashpureff. Vyuzil tenkrat nejakou v te dobe jiz dost dlouho znamou a odstranenou chybu v kesovani odpovedi. Dnes uz je to trochu jinak, skoro na kazdem root dns serveru bezi jina verze bindu (mozna i neco jineho) a na jinem operacnim systemu. Najit postup, ktery by fungoval vsude se mi zda byt dost nepravdepodobne.

Ja vim, ze 5 let je v pocitacich cela epocha - ale pro me uz to uz az tak davno neni ...

Nicmene, nenapadlo me predpokladat, ze by nekdo pouzil chybu jiz drive odhalenou (a tedy nejspis odstranenou) - predpokladam, ze existuji jine, dosud neobjevene. Ostatne, neni bezpodminecne nutne, aby byl zamenen obsah zony na vsech techto nameserverech - uz zmena obsahu tri by zrejme zpusobila dost znacnou paseku. Zkratka - jak uz jhsem rikal, ja, byt terorista a chtit zlikvidovat Internet, jdu se trefit do rootovskych nameserveru (at uz letadly, nebo mene nasilne ale o to ucinneji, softwarovym utokem) - predpokladam ale moznost, ze profesionalni terorista s patricnou praxi v oboru muze znat daleko lepsi zpusoby. Pokud se nekdo domniva, ze zna lepsi zpusob, rad se necham poucit (i kdyz tato znalost pravdepodobne moji cenu na tuzemskem trhu prace prilis nezvedne ;-) )

Ten claanek se zdaa byt zajiimavy akoraat se v nem vyskytuje spousta zkratek a ciziich slov (ted mluviim jak blondyynka). Premyysleli jste nad neciim prozaictejsiim?

K teto uvaze me vedla odpoved jedne holky, kdyz prestala fungovat skolni siit a na mou hlaasku "spadlu server" reagovala otaazkou :"odkud?".

Dulezitych transkontinentalnich spoju je urcite v raamci uspor a prehlednosti pouze nekolik v ohromnych propustnostech (kdo by delal tisiice kabelu 10Mbit/s ze:-}}

Kdyz uz tady maame konspiraci 10 lidii kteryy musii byyt tajnii - nenii nic jednodussiho nez kliicove spoje nejak FYZICKY prerusit (to je naahodicka ze vsechny naraaz) a moznaa k tomu bude potreba mene nez 10 lidii

Utok na Internet od Blondynky

Scenar:
- Jako bohaty terorista ovladnu nejakeho velkeho, nejlepe tranzitniho ISP. Ani ho nemusim ovladnout - staci sveho cloveka protlacit na misto, kde bude mit pristup ke konfiguraci hranicnich smerovacu.
- Nastavim routovani tak, ze se bude zdat, ze vetsina AS lezi nekde hodne blizko u me, rekneme za jednim hopem.
- Tuhle informaci pustim do sveta svym sousedum.

Co se stane:
- Muj AS pro ne stane nejlepsi cestou kamkoliv (krome pripadu, kdy jsou primo pripojeni k nejake dalsi siti).
- Tuhle inforamci mi sousedi predaji dal.

Vysledkem bude totalni chaos v routovacich tabulkach, takze nepojede ani IP. Bohuzel budu ponekud omezen tim, ze cim vic hopu ode me nejaky AS bude lezet, tim min se necha ovlivnit, protoze mozna bude mit lepsi routu odjinud. Ovsem u mych sousedu to zabere dost spolehlive. Samozrejme mi musi predem duverovat a routovaci tabulku ode me brat, takze tranzitni ISP jsou ve zrejme vyhode :-)

Ja vim, tenhle teroristicky plan ma sve slabiny (treba ze jednotlivi ISP filtruji BGP announcementy, grrr), ale vicemene by to mohlo fungovat.

Středoatlantický hřbet prostě tektonicky aktivní je, přes to vlak nejede.
To, že během té krátké doby existence transatlantických kabelů k jejich zalití lávou nedošlo (nebo dochází zřídka), nic neznamená. Předpovídat vulkanismus nebo zemětřesení neumíme, takže k němu klidně může dojít hned zítra.
Ona Etna taky nesoptí furt, že...

Ne všechno, co vám říkali ve škole, je blud. Třeba to, že se píše "jsme" a "kabely vydržely" (ledaže by pán byl Slovák, pak by ale měl psát po svojom) blud není. Občas je dobře i něco vědět, nejen "si myslet".