Исследователи по информационной безопасности обнаружили возможность кражи конфиденциальной информации, используя стандартное поведение ОС Windows.
Атаки типа «Человек посредине» (Man In The Middle, MITM), описанные в понедельник [04.04.2011], используют возможности последних версий ОС Windows для упрощения связи с сетями на основе IP протокола следующего поколения IPv6. Аналогичные атаки возможно произвести и против компьютеров с Mac OS X, хотя практического подтверждения пока нет. Это утверждение озвучено Jack Koziol, руководителем компании в области информационной безопасности «Институт InfoSec».
Атака эксплуатирует уязвимость под названием «Автоматическая безадресная конфигурация» (Stateless Address Auto Configuration, SLAAC), которая позволяет клиентам и хостам находить друг друга в сетях IPv6. При включении этой адресации (IPv6), как по умолчанию это реализовано в OS X, Windows Vista, Windows 7 и Server 2008, SLAAC может быть использована для создания неавторизованной IPv6 сети, а она сможет перенаправлять трафик через оборудование, находящееся под контролем атакующих.
Как отметил Jack Koziol, «В случае подобной атаки Windows-машины будут соединяться с „плохим“ маршрутизатором, вместо правильного. Если бы Microsoft не включал эту опцию по умолчанию, можно было бы избежать большинства негативных последствий этой атаки».
Подтверждение возможности атаки на основе данных исследователя Института InfoSec Alec Waters предполагает, что пользователь вообще не влияет на автоматическую работу протокола и не получает каких-либо предупреждений при соединении с неавторизированной IPv6 сетью.
Данная атака работает, поскольку система настроена на использование более нового протокола связи в случае его доступности. Несанкционированное подключение оборудования IPv6 к сетям IPv4 приведет к тому, что компьютеры начнут маршрутизацию трафика через него, а не через стандартный шлюз. Другими словами, атака использует поведение системы по умолчанию, при котором она по возможности использует более новую версию протокола.
По словам Jack Koziol, Linux, FreeBSD и другие операционные системы не подвержены этой атаке при настройках по умолчанию.
Данная техника кражи сетевого трафика давно известна в теории в связи с Протоколом определения адресов (Address Resolution Protocol, ARP). По словам Jack Koziol, хотя для ARP существует множество инструментов для определения и устранения атак, для профилирования SLAAC атак на сегодняшний день практически ничего нет. Более того, с распространением новых версий Windows и OS X такие атаки могут эффективно работать на все возрастающем числе машин.
Конечно, атакующие еще должны установить соответствующее «железо» в сеть. Но в сетях, открытых для атак изнутри, наличие Windows или OS X могут сделать ее возможной, тогда как ранее это было невозможно.
Bruce Cowper, руководитель Группы доверенных вычислений Microsoft (Microsoft's Trustworthy Computing group) прокомментировал ситуацию таким образом:
От переводчика. «О сколько нам открытий чудных...» . В продолжение о готовности к IPv6.
Атаки типа «Человек посредине» (Man In The Middle, MITM), описанные в понедельник [04.04.2011], используют возможности последних версий ОС Windows для упрощения связи с сетями на основе IP протокола следующего поколения IPv6. Аналогичные атаки возможно произвести и против компьютеров с Mac OS X, хотя практического подтверждения пока нет. Это утверждение озвучено Jack Koziol, руководителем компании в области информационной безопасности «Институт InfoSec».
Атака эксплуатирует уязвимость под названием «Автоматическая безадресная конфигурация» (Stateless Address Auto Configuration, SLAAC), которая позволяет клиентам и хостам находить друг друга в сетях IPv6. При включении этой адресации (IPv6), как по умолчанию это реализовано в OS X, Windows Vista, Windows 7 и Server 2008, SLAAC может быть использована для создания неавторизованной IPv6 сети, а она сможет перенаправлять трафик через оборудование, находящееся под контролем атакующих.
Как отметил Jack Koziol, «В случае подобной атаки Windows-машины будут соединяться с „плохим“ маршрутизатором, вместо правильного. Если бы Microsoft не включал эту опцию по умолчанию, можно было бы избежать большинства негативных последствий этой атаки».
Подтверждение возможности атаки на основе данных исследователя Института InfoSec Alec Waters предполагает, что пользователь вообще не влияет на автоматическую работу протокола и не получает каких-либо предупреждений при соединении с неавторизированной IPv6 сетью.
Данная атака работает, поскольку система настроена на использование более нового протокола связи в случае его доступности. Несанкционированное подключение оборудования IPv6 к сетям IPv4 приведет к тому, что компьютеры начнут маршрутизацию трафика через него, а не через стандартный шлюз. Другими словами, атака использует поведение системы по умолчанию, при котором она по возможности использует более новую версию протокола.
По словам Jack Koziol, Linux, FreeBSD и другие операционные системы не подвержены этой атаке при настройках по умолчанию.
Данная техника кражи сетевого трафика давно известна в теории в связи с Протоколом определения адресов (Address Resolution Protocol, ARP). По словам Jack Koziol, хотя для ARP существует множество инструментов для определения и устранения атак, для профилирования SLAAC атак на сегодняшний день практически ничего нет. Более того, с распространением новых версий Windows и OS X такие атаки могут эффективно работать на все возрастающем числе машин.
Конечно, атакующие еще должны установить соответствующее «железо» в сеть. Но в сетях, открытых для атак изнутри, наличие Windows или OS X могут сделать ее возможной, тогда как ранее это было невозможно.
Bruce Cowper, руководитель Группы доверенных вычислений Microsoft (Microsoft's Trustworthy Computing group) прокомментировал ситуацию таким образом:
Microsoft в курсе дискуссии специалистов по безопасности о возможности атак типа «Человек посредине» в сетях на основе протокола IPv6. Описанный метод требует гипотетической ситуации, когда атакующий имеет физический доступ к сети для установки «черного» маршрутизатора. Данная ситуация не является «дырой в безопасности». В качестве единственного варианта защиты мы предлагаем запрещать IPv6 протокол на всех машинах, которые его не используют.
От переводчика. «О сколько нам открытий чудных...» . В продолжение о готовности к IPv6.