книги хакеры / журнал хакер / 117_Optimized

ГвидоВанРоссум: Python

Ван Россум — крайне веселый дядька и, хуже того, он — голландец. То есть, последнее время шутки про Голландию и траву, конечно, уже перестали быть такими уж смешными, но это все же наводит на кое-какие размышления. Так, Гвидо было мало разработать собственный язык программирования, надо было еще и назвать его в честь шоу «Летающийцирк МонтиПайтона» (Monty Python’s Flying Circus)

— Python. Смотревшие меня поймут :).

В 1982 окончив университет Амстердама, Ван Россум успел поработать со многими крупными НИИ, в том числе и американскими. Он занимался самыми различными вещами,

среди которых была и работа над проектом по созданию языка ABC. Затея у проекта была весьма амбициозная — ABC был призван полностью вытеснить BASIC, Pascal и так далее, плюс с его помощью собирались обучать программированию. Перед Рождеством 1991 года Ван Россум неожиданно заскучал и решил попробовать написать свой язык, отталкиваясь от наработок ABC. Очевидно, ему было очень скучно, потому что язык он все-таки написал. И любит свое детище до сих пор. Даже спустя столько лет он присматривает за всем, что происходит в комьюнити и носит забавный статус «великодушного пожизненного диктатора»

(Benevolent Dictator for Life). Добавим, что с

2005 года этот остряк работает в Google.

стали спрашивать, можно ли как-то заполучить ее в свое пользование. Лердорф не отказал (тогда движения Open Source в нынешнем его виде еще не существовало, а такого рода вещи назывались просто «freeware»). Невинная, на первый взгляд, фишка вылилась в первую рассылку по PHP, которую уже на момент 1995 года

исоздал сам Расмус, чтобы как-то облегчить людям возможность обмениваться мыслями и идеями.

Первые версии PHP Лердорф продвигал

иподдерживал очень активно, но тот PHP, каким мы знаем его сегодня, сильно далек от исходного. Сам его создатель с 2002 года работает в Yahoo, куда его позвали как раз по части созданного языка. Цитируя одно интервью: «Они хотели, чтобы я помог им с PHP». Своим детищем он, конечно, занимается и сейчас, но уже в качестве «одного из многих». Лердорф по мере сил вносит вклад в дело свободного ПО, регулярно помогая тем или иным проектам.

именноему,завсеегозаслугивцеломиза созданиеPerl’авчастности.Вообще,довольно интересно,чтопринаписанииПерлаУоллруководствовалсянетолькосвоимипрограммерскимипознаниями.Таконутверждает,чтоему оченьпомоглолингвистическоеобразование, аназваниеязыкуивовседалаБиблия.Дело втом,чтоУоллхристианин,аязыкизначально

носилимя«Pearl»—жемчужина.Этобылапря-

маяотсылка:«...Pearlofgreatprice...»(«...найдя однудрагоценнуюжемчужину...»,Евангелие отМатфея13:46).Слово«Pearl»такжебылои аббревиатуройотPracticalExtractionandReport Language,нопотомбуква«а»потерялась.

СегодняУоллхорошоизвестенкакпрограммист, авторисоавторцелогорядакнигпоPerl’уи,конечно,лингвист.Освоемосновномиофициальномобразованиионзабыватьнесобирается.

АндерсХейлсберг: TurboPascal,Delphi,C#.

Датчанин Хейлсберг родился в декабре 1960. В родном Денмарке он окончил местный университет и получил образование инженерапрограммиста. Надо заметить, программист из него вышел талантливый. В сумме он приложил руку к трем языкам — на его счету Turbo Pascal, Delphi и C#. Еще учась в университете, он стал писать программы под микрокомпьютеры Nascom и создал компилятор для Паска-

ля, который изначально назвал Blue Label Pascal compiler. Впоследствии он портировал наработку под MS-DOS и переименовал в

Compas Pascal, а позже — в PolyPascal. Со всем этим счастьем Андерс находился под крылом небезызвестной компании Borland, которая и лицензировала его детище (aka Турбо Паскаль). Со временем под пристальным наблюдением

Хейлсберга, который, кстати,занималвBorland Internationalпостглавногоинженера, Turbo Pascal не только развился, но и постепенно эволюционировал в Delphi. Над этой «заменой» опять же трудился сам Андерс, являясь главным архитектором проекта.

В 1996 он покинул Borland и перешел прямиком к их главным конкурентам — Microsoft. Незабвенные мелкомягкие очень хорошо умеют переманивать к себе специалистов. В MS Хейлсберг поначалу корпел над языком J++, а потом быстренько дорос до главного архитектора проекта по созданию языка C#. Чем это закончилось, мы прекрасно знаем — у Андерса, конечно, все получилось. Сегодня он является заслуженным инженером (distinguished engineer) компании и продолжает заниматься всяческой поддержкой и развитием своего творения.

Юкихиро Мацумото: Ruby

Удивительно, но Мацумото единственный автор нашей подборки, кто родом с Востока. Страна восходящего солнца не испытывает недостатка в светлых умах, но, видимо, им как-то не везет с языками программирования.

Юкихиро aka Matz, по его собственным заверениям, прогать начал, еще учась в школе. Это было где-то в начале 70 х (учитывая, что он 1965 года рождения). А известен японец тем, что разработал язык Ruby. Основное

назначение и призвание языка — естественность (не путать с простой). Matz хотел соз­ дать что-то более мощное, чем Перл и более объектное-ориентированное, чем Питон. В итоге, у него вышел сплав из Perl, Smalltalk, Eiffel, Ada и Lisp, а полученное творение было названо Ruby («Рубин»). Интересно, что Мацумото — человек верующий. Он активный член Церкви Иисуса Христа Святых последних дней, то есть, мормон. Чего же здесь такого интересного, спросишь ты. А то, что название Ruby — своего рода поклон в сторону Перла, о происхождении названия которого речь уже шла чуть выше. Любопытное «совпадение».

ДжонМаккарти: Lisp

Пожалуй,самыйпожилойучастникнашей«переписи»иодинизсамыхзначимых.Маккарти родилсяв1924году,вСША.

Деятель он более чем известный, например, привычный нашему с тобой уху термин

«искусственный интеллект» (Artificial Intelligence, AI) принадлежит именно ему,

Маккарти ввел его в обиход еще в 1955. Но раз уж мы говорим о языках программирования, то стоит отметить еще одно известнейшее детище американского информатика,

— Lisp. Лисп стал вторым в истории высокоуровневым языком программирования (первым был Фортран); он использовался и по сей день используется в основном для разрешения сложных задач. Датой рождения Лиспа

был 1958 год, а известность к нему пришла чуть позже. В 1960 в журнале Communications of the ACM вышла статья Маккарти с подробным описанием нового языка. По большому счету, Джон стал отцом не только Лиспа, но и основоположником всего функционального программирования как такового.

Забавно, но он, похоже, успел поработать чуть ли не во всех самых престижных учебных заведениях для гиков: в Принстонском и Стэндфордском университетах, Дартмутском колледже и Массачусетском тех-

нологическом институте. Осесть Маккарти все же предпочел в Стэнфорде, где и оставался профессором вплоть до 2000 года (пора уже было на пенсию).

Сегодня Джон носит звание заслуженного профессора и справедливо почивает на лаврах. z

Крис Касперски

Хронологиясобытий

ГотовяськочереднойхакерскойконференцииBlackHatUSA2008,Дэн Каминский,сотрудниккомпанииIOActive,подготовилдоклад,демонст­ рирующийновыеатакинаDNS-сервера.Чтоинтересно,впрезентации текстпочтиотсутствовал.Каминскийотказывалсяразглашатьтехническиедетали,нагнетаяатмосферуужасаипаники.Компании,специализирующиесянакомпьютернойбезопасности,лихорадочноанализировализаплатки,выпущенныепроизводителями,пытаясьопределить, чтоименнобылоисправлено.Какиследовалоожидать,Каминскийне откопалничегопринципиальнонового,хотяиизвлекизтьмыкромешной ранееиспользованные,номалоизвестныемолодомухакерскомупоколениюатакинаDNS.

Междутем,наодномизблоговпоявилосьдостаточнополноеописание предполагаемогосценарияатаки,которое,пооднойверсии,быловыбол- таноКаминским«попьяни»,подругой—независимореконструировано хакеромХалваромФлейкомнаосновеанонсапрезентацииКаминского. Внастоящиймоментубраныианонс,итекстФлейка,наместекоторого красуется«джентльменское»извинение.Однако,какговорится,чтов Сетьпопало,топропало,иописаниеатакинемедленнорасползлосьпо десяткамсайтов,форумов,блоговиживыхжурналов.

Азадвенеделидопрезентациинаmetasploit’епоявиласьпарасвежень­ кихexploit’ов,одинизкоторыхпредназначендляатакнаDNS-сервера, другой—нарабочиестанции.Анализобоих(выполненныймной«подолгу службы»)невыявилничегоособеннонового.Подобныетрюкияиспользо-

валисам(недляреальныхатак,адляpen-testing’а,ночтоэтоменяет?) Самоеинтересное—реальныедыры(окоторыхКаминскийнеимелнима- лейшегопредставления)осталисьнезаткнутыми.Ясходупредложилдва сценариявнедрениявужепропатченныесистемы.Непридавим,впрочем, большогозначения,посколькуEndeavorSecurityInc(гдесейчасработаю) восновномзанимаетсяразработкойилицензированиемсигнатурдля

всестарыезаписи.Послечегопоследняяссылкавписьме,ведущаяна серверобновлений,гарантированопошлетобозначенныйзапросвСеть. ПредшествующаяейссылканаWeb-сервер,подконтрольныйхакеру, подскажетточноевремя,когдаследуетначинатьгенерациюподложных пакетов.Еслихотябыодинизнихбудетвосприняткакправильный,в DNS-кэшпопадет«левый»адрессерверасапдейтами,имеющийвсе

Всмысле,английскуюпубликацию.Зарусскуюникакогодоговоране было,такчточитатели«Xакера»имеютвозможностьполучитьэксклюзивнуюинформациюизпервыхрук.

Восходсолнца надСан-Франциско,иликакэтоработает

DNS-протоколможетработатькакповерхTCP,такиповерхUDP,причем в99%случаевиспользуетсяименноUDP—какболеебыстрый,менее ресурсоемкий,но,втожевремя,именеезащищенный.Чтобыпослать подложныйпакет,которыйбудетвоспринятжертвойкакправильный,достаточноугадать(подобрать)идентификаторпоследовательности(TXID) иномерпорта-отправителя(SP#).Наэтомзаканчиваетсяперваяфаза атакииначинаетсявторая.

Впростейшемслучаезлоумышленникможетотправитьподложный DNS-ответсподложнымIP-адресомнекоторогоузла,накоторыйло- митсяжертва.Например,хорошаяидея—навязатьложныйIPсервера обновленийизаманитьжертвунахакерскийузел,гдележат«хакнутые» заплатки,начиненныечервямиилипрочейзаразой.

Сложностьреализацииатакподобногородавтом,чторабочиестанции кэшируютDNS-запросы.Болеетого,системанепринимаетDNS-ответов, которыенезапрашивались—хакердолжендождатьсямомента,когда жертвапошлетDNS-запрос,исгенерироватьподложныйответпрежде, чемэтосделаетнастоящийDNS-сервер!Насамомделе,обепроблемы имеютвесьмаэлегантноерешение.DNS-кэшобычноневелик,апотому, пославжертвеHTML-письмоскучейкартинок,лежащихнавнешнихсер- верахсразнымидоменнымиименами,хакерможетвытеснитьизкэша

емувсепоследующиедоменныеимена*.abcdomain.comдляпреобразо- ванияихвIP,считаяегонаиболеекомпетентнымDNS-сервером,лучше другихразбирающимсявдоменеabcdomain.com.Хакеродниммахомзахватываетцелыйдоменсовсемиподдоменнами!Именноэтотсценарий ипредложилКаминскийдляатак.

Напервыйвзгляд,ситуацияблизкаккритической,ведьзахватываядомены одинзадругим,атакующийможетманипулироватьтраекториейсетевого трафикапосвоемуусмотрению,вороватьконфиденциальнуюинформацию, троянизироватьисполняемыефайлыивытворятькучудругихфокусов. Однакоприближайшемрассмотрениивсевидитсявиномсвете.Сценарий Каминскогоизвестенсовременпервоймолодостиинтернет,иегоэффективностьпреувеличена.Чтобызахватитьдомен,нужнопослатьподложный DNS-пакет,угадавTXID/SP#,чтовобщемслучаетребуетпосылкибольшого количествапакетов,легкозасекаемыхдажесамойпримитивнойсистемой обнаружениявторжения.Во-вторых,информацияокредиткахобычно передаетсячерезSSL(соединение,заведомоустойчивоекперехвату),аисполняемыефайлы(особенносистемные)снабженыцифровымиподписями, которыенеподделаешь.Дажевслучаеуспешногоисходаатакивозможностихакеравесьмаограничены,особенноучитываясуществованиедополнительныхзащитныхкомплексов,техжеантивирусов,например.

Очеммолчатзаплатки

ЛататьDNS-сервераиDNS-резолверы(входящиевсоставвсехопераци- онныхсистем)начализадолгодо«дыры»Каминского.Древниесистемы использовалиинкрементныйTXID(увеличивающийсянаединицус

links www.doxpara.com

— блог Каминского

с DNS-чекером, который предназначен для «честной» (как пишет Каминский) проверки DNS на уязвимость, но (как показывает tcpdump) ведет нечестную игру. И вообще, Дэн проявляет большую активность, фиксируемую сенсорами распределенной сети компании Endeavor Security, что наводит на определенные размышления.

каждымDNS-запросом)ификсированныйпортисточника, чтоделалоDNS-атакичрезвычайнопростымзанятием.Не нужнобытьпророком,чтобыугадатьзаранееизвестнуюпару 16 битныхчисел,варьирующуюсявоченьузкихпределах. Послепервойволныатакразработчики,почесаввзатылке, написалинесложнуюфункцию,генерирующуюTXIDна основесистемныхчасов,значениекоторыхудаленному атакующемунеизвестно(вовсякомслучае,такпринято считать).Однакоэтонесильносмутилохакеров(пионеров, пользующихсяготовымиexploit’ами,мыврасчетнеберем). Во-первых,энтропия(тоестьмерабеспорядка)вэтомслучае намногониже16 бит.Младшиебитысистемныхчасовобычнопредставляютсобойконстанту,посколькуаппаратный таймернеобеспечиваетзаданноговременногоразрешения.Старшиежебитыобычнотакжепредставляютсобой константу,инадостаточнокороткомвременномотрезке меняетсятолькосередина16 битовогополяTXID. Во-вторых,посылаязапросыDNS-серверуиполучаяотнего пакеты,хакер«вытягивает»оттудаTXID,которыевподавляющембольшинствеслучаевложатсянатривиальную прямуюарифметическойпрогрессиисминимальнымразбросом.Онтемменьше,чемнижезагруженностьсервераи канала,связывающегоегосатакующим.Атакивспыхнулис новойсилой.Разработчикиплюнулиисделалито,чтоимпо- лагаласьсделатьссамогоначала—полнуюрандомизацию TXID,что,кстати,прощесказать,чемзапрограммировать. ВедьTXIDдолжныпредставлятьсобойуникальныеидентификаторыинеповторятьсядваждывтечениекороткого интервалавремени.Алгоритмы,основанныенасистемных часах,обеспечиваюттакоераспределениевсилу«стрелы времени»,авотфункциитипаrand()требуютспециальной доработки«напильником».Реализацияусложняется,

повышаявероятностькосяков,но…чегонесделаешьради безопасности?

Портисточникадолгонехотелирандомизировать,оставляя егокакпоследнийбастион.Но16 битноеполеTXIDдаже при100%рандомизации(недостижимойнапрактике)—не слишком-тохорошаязащита,идляуспешнойатакихакеру достаточновсреднемпослать2^16/2=32768пакетов.Учитываяпропускныеспособностисовременныхсетей,плюс наличиераспределенныхботнетов,атаказайметсчитанные минуты!Системаобнаружениявторжений,конечно,среагирует,нопротивостоятьатакенесможет,таккакнеизвестно, скакогоузлаботнетапридетследующийподложныйпакет (авотеслихакернеменяетсвоегоIP,тоеголегкозаблокировать).

До Каминского большинство систем использовало простой инкрементный алгоритм (номер порта источника увеличивается на единицу до тех пор, пока не встретится первый свободный порт), но это касается исключительно рабочих станций с DNS-резолверами. У DNS-серверов порт-источ- ника обычно фиксирован и по умолчанию равен 53, хотя разработчики BIND 8 и 9 заблаговременно предоставили опциональную возможность его рандомизации. Когда владельцы других систем лихорадочно качают патчи, пользователи последних версий BIND просто комментируют одну строчку в конфиге named.conf (Крис имеет в виду директиву

«query-source address * port 53;», предписыва-

ющую серверу BIND использовать 53 тий порт в качестве порта для запросов, посылаемых через все локальные сетевые интерфейсы — Прим. ред.), продолжая пить пиво. А потом включают ее обратно, поскольку рандомный порт на сервере — не есть хорошо, так как возникают проблемы с брандмауэрами, трансляторами сетевых адресов и прочие

Каминский и не знает, что в Сети везде понатыканы датчики, сенсоры и что сервера, которые он «атакует», это honey-pot’ы

конфикты.

Заплатки,выпущенныедляпредотвращения(читай:затруднения) атакнаDNS-сервераирабочиестанции,рандомизовалиTXIDвместе спортом-источникаиизменилиполитикукэшированияDNS-ответов.

Казалосьбы:теперьмы,наконец,защищены.Какбынетак!Существует, поменьшеймере,двасценарияэффективныхатак,которыепробивают полностьюпропатченныеBIND9,DJBDNS,атакже,частично,PowerDNS. Исейчасяихпродемонстрирую.

Задыхаясьотжажды

ОК,портисточникарандомизированивыбираетсянаугадизширокого пула(точныецифрыварьируютсяотоднойсистемыкдругойивгрубом приближениисоставляют16384,тоесть12бит,хотятотжеPowerDNS используетвсего1024порта,чтоприбольшомколичествезапросов ведеткбанальномуDoS’у).Допустим,чтосервер(илирабочаястанция) используеткриптостойкуюфункциюрандомизации,угадатьследующее значениекоторойневозможно.Означаетлиэто,чтоатакующемунеобходимоперебирать16битTXIDвместес12битамипортаисточника? Конечно, нет! Порты — расходные материалы, и они используется

не только DNS’ом, но и многими другими службами, реализованными поверх UDP. Это позволяет атакующему вполне легальными средствами захватить большое количество портов, просто посылая пакеты соответствующим службам и ожидая от них ответа. Как раз при генерации ответа и происходит «заем» порта, освобождаемого только после завершения отправки исходящего пакета. Даже если на сервере нет никаких других UDP-служб, атакующий просто обрушивает на DNS шквал легальных запросов, опустошая пул доступных портов, что, в

BINDитоварищи

ОсновнаяпричинапопулярностиBIND’а—инертностьмышления. ВроликэширующегорекурсивногоDNS-сервераBINDпросто ужасен,иужена1kрекурсивныхзапросоввсекундусреднеевремя ответавозрастаетсначаладосотенмиллисекунд,постепенноувеличиваясьдодесятковсекунд!Реальноподтакойнагрузкойживет толькоPowerDNS.DJBDNSработаетвполнеустойчиво,однаков силувыборанестойкогоалгоритмарандомизацииломаетсячуть линевлет(дажеспоследнимиустановленнымизаплатками,выпущеннымипослеКаминского).