Vlákno názorů k článku Úspěšný útok na Internet - I ? od pp - je tezke urcit barvy "cernych" skrinek, vice mene...

je tezke urcit barvy "cernych" skrinek, vice mene jsou do modra, cisco modrozelene?

Mam jen drobnou pripominku k tomu, ze "CISCO a Juniper jsou cerne krabicky bez moznosti administrace".

Souhlasim s tim, ze je mozne vest uspesne utok proti implementaci jinych protokolu (ano, SNMP je jeden z nich), nicmene omezite si tak velikost cilove skupiny. Nedelal jsem zadne sofistikovane testy poctu smerovacu, ktere jsou dostupne pres SNMP, nicmene zajmove paterni site bohuzel umoznuji pristup pouze z vyhrazenych subsiti.

Nesouhlasim s tim, ze kdyby se Vam podarilo zasahnout 40% smerovacu bez ohledu na velikost, pujde o likvidaci Internetu. Zkuste ci vycislit, kolik smerovacu bezi v CR a kolik z nich jsou smerovaci ISP - a kolik z nich jsou smerovace, ktere nelze nahradit. IMHO byste vyradil z provozu homogenni celky (ve smyslu jednotlivych firem), ale nikoliv vyrazeni Internetu ve smyslu geografickem.

Ale jinak diky za prispevek :-)

Jeste se taky museji najit a dat dohromady, coz je slozite pri pozadavku na utajeni.

"Obranci" taky nestoji na miste.

Jenze 0.01% z tech 100000 lidi dava prave cislo to vami uvadene cislo 10. Ted uz jenom aby splnili ty dve dalsi podminky (penize a zabezpeceni).

>V našem případě by se jednalo na potřebu nalézt chybu nebo
>zadní vrátka v implementaci TCP/IP nebo BGP-4 ve
>směrovačích CISCO Systems nebo Juniper Networks, které
>jsou nasazeny na rozhodujících místech Internetu

To jsou jako ty zarizeni cerne krabicky s implemetanci IP a BGP-4 a neni zadne jine rozhrani, napriklad rozhrani pro administraci? To mi pri vsem respektu k autorovi prijde jako ukazka mysleni cloveka, ktery "se zabyva Internetem a telekomunikacemi, jeho specializací je fungování Internetu a vztahy mezi subjekty na internetovém a telekomunikačním trhu", ktery se ale nezabyva bezpecnosti.

"Rozhodujici misto Internetu". Kdyby se podarilo zasahnout treba 40% vsech smerovacu bez ohledu na velikost, bylo by to taky rozhodujici. Jak to udelat? Najit chybu v SNMP nebo v dostatecne casti jeho implementaci. To jde, to uz se jednou podarilo - stacilo vytvorit obecny nastroj pro testovani cele tridy chyb. (Projekt Protos http://www.ee.oulu.fi/research/ouspg/protos/)
Samozrejme bychom se neobesli bez distribuovanosti utoku.

>Genialitu nebudeme potřebovat při distribuci a
>zabudovávání trojských koňů do systémů (to vyřeší
>jednoduchost uživatelů), ale pro vynalezení dostatečně
>generického útoku a hlavně koordinaci takového útoku. Není
>totiž v našem zájmu, aby se nakažený počítač nějak >prozradil (nevěřte tomu, že někomu neběží systémový čas o
>měsíc napřed) -- předčasné odhalení útoku zcela jistě >povede k protiopatřením ze strany administrátorů velkých >sítí.

Jak zajistit koordinaci utoku?

-v podstate jde o to, aby si nikdo na svete nevsiml, ze se siri cerv, a ze chce utocit na internet.

Jak zajistit, ze nikdo nezjisti, co chce virus doopravdy udelat: cerv posloucha prichazejici packety, a zkousi, zda se nehodi jako privatni cast k verejnemu klici, ktery si cerv nese s sebou. Pokud se hodi, privatnim klicem se desifruje klic symetricke sifry, kterym se desifruje payload, obsahujici utok na internet. Proti utocnikovi je schopnost sveta kod rozlustit i bez klice.
Plaintext kodu samozrejme onen spousteci "klicek od pandoriny skrinky" obsahuje a po spusteni pilne vysila na vsechny strany, aby probudil ostatni spici cerviky.

Zajistit, ze si nikdo na svete nevsimne, ze se siri nebezpecny cerv, IMHO nejde. Naopak zlehcene "umiseni jako trojanu do rozsireneho software" je cesta, ktera spolu s predchozim postupem cini utok dokonale realny.

Samozrejme nejlepsi reseni koordinace je genialne "jednoduche". Nic nekoordinovat.
Rozsirit cerva tak rychle, ze nestihne dostatecny pocet administratoru zareagovat. Utocit okamzite nebo v t+30min (viz zname uvahy warhol worm, flash worm)

>Dostatečnou generičnost útoku je podle mého názoru možné
>zajistit tak, že útočíme na stroj, který je o jeden skok
>blíže (viz. příkaz tracert či traceroute) než první, který
>neodpovídá. Prvním může být náhodně některý z kořenových
>nameserverů -- můžeme plýtvat výkonem, počítačů máme dost.

No tak to uz je celkem mensi problem, pokud se genericnosti mini, ze utok je natolik obecny, ze dava smysl na kazdem pocitaci, a ze nepostihuje celou sit. Napad s traceroutem ke korenovym nameserverum je ovsem dobry, utok na dns jako vedlejsi efekt :)

Na zaver link na jeden text na toto tema (zajimavejsi nez clanek, clovek se i ledacos dozvi :)
http://www.cs.berkeley.edu/~nweaver/cdc.web/
(uznavam, ze je velmi obtizne napsat tak zajimavy clanek :))

---

Ad Zalewskeho wormnet - takove uvahy nevedl jen Zalewski. Zalewskeho material klade trochu hypertrofovany duraz na multiplatformnost a prenositelnost, a snad i ruzne prakticke pokusy byly spis v oblasti prenositelneho viroveho kodu. Instalaci nektere verze internet exploderu je zrejme daleko vic, nez instalaci vsech programu schopnych kompilovat ccko dohromady.

---

Pokud dokazu odhadnout, je realizace cerva, podporujciho netrivialni wormnet, kryptograficky zabezpecene pluginy, teoreticky popsane maximalne efektivni metody sireni atd. mirne za dnesnimi hranicemi moznosti nejlepsich "skupin tvurcu viru".

Co nas v tuto chvili deli od uspesneho utoku na {i)Internet?
IMHO potrebne znalosti a schopnosti ma tak 100000 lidi, z nichz by se muselo dat tak 10 dohromady. Navic by to chtelo nejake penize a nesmela by si jich vsimnout nejaka bezpecnosi slozka a pod, cili samotny projekt by mel dost vysoke naroky na bezpecnost. Od uspesneho utoku na {i)Internet nas IMHO deli to, ze 99,99% z onech lidi, kteri "mohou", nejsou blazni, teroriste a jini posuci a {i}Internet znicit nechteji.