Pull to refresh

Торренты, скайп и безопасность

Reading time3 min
Views9.6K
Дисклаймер: все нижесказанное — мои личные мысли, не ставящие целью дискредитировать упомянутые системы и их производителей.

Коротенько о себе: я занимаюсь сетевой безопасностью. 8 лет. Специализируюсь на cisco (CCIE Security).

Я сам настороженно отношусь к обоим системам (Торрент, Скайп). Но все никак не мог сформулировать, что же мне так не нравится. И вот сейчас я попробую по возможности объективно рассказать, что же меня тревожит.

Но для начала я напомню уважаемым хабрачитателям, что такое ботнет, с чем его едят и почему он так опасен.

Ботнет — объединение разрозенных компьютеров, находящихся под одним вредоносным управлением. Ботнеты делятся на активные и пассивные. Компьютеры в активном ботнете знают, что ими удаленно управляют. В пассивном — нет.

Как же компьютеры попадают в ботнет? Как правило, для этого используются трояны (устанавливаешь на компьютер одно, а параллельно тебе ставится незаказанное), рассылаемые с почтой, черви (самораспространяющийся по сети вредоносный код), программы на самозапускающихся флешках и т.д. Главная задача — установить на компьютер программу, которая будет «стучаться» (пытаться соединиться) изнутри межсетевого экрана наружу на хосты управления (call-home). Как только зараженный компьютер достукивается до сервера управления, по установленной сессии им можно поуправлять.


Попытки соединиться производятся, как правило, по имени (именам), а эти имена динамически меняются в ДНСе каждый день.
И порты эти приложения (собакины дети!) выбирают разные, случайные в надежде, что они открыты на межсетевом экране.

А чем же они опасны?
Хороший ботнет да в умелых руках — мощнейшее оружие для проиведения распределенной атаки отказа в обслуживании (DDoS), рассылки спама и других атак. Против DDoS пока нет эффективного оружия (канал, «заткнутый» со стороны провайдера, клиент «проковырять» ну никак не может). Хочется ли вам стать частью ботнета?

А теперь некоторые факты про торрент:
1. Торренты (многие клиенты) могут подключаться по многим портам
2. Торренты используют множество адресов, на которых регистрируются
3. Вы сами ставите клиента, инициируете соединение из-под межсетевго экрана
4. Активность на выкачку (когда трафик забирают у клиента) легко может скрывать любые действия с клиентом

и про скайп:
1. При установке скайпа всем выдается сертификат, подписанный сервером скайпа
2. При добавлении нового абонента добавляется его сертификат
3. При соединении с сервером весь трафик шифруется сертификатом (открытым ключом) сервера. Я пытался его неделю назад зафильтровать при помощи cisco IPS и был посрамлен :( Старую (нешифрованную) версию IPS фильтровал по шаблонам.
4. Скайп может цепляться (по неизвестным адресам и неизвестным портам) к разным серверам
5. Сессия скайпа (служебная) не отслеживается, равно как и разговорная, ибо зашифрована…

Какой же я делаю из этого вывод?

А то, что оба сервиса с сетевой точки зрения до боли напоминают действия ботнета…

Я никого ни от чего не отговариваю. Мало того, признаю, что скайп — простая и ГЕНИАЛЬНАЯ штука, соединившая в себе несколько простых и умных идей (шифрование, сертификаты для автоматического доверия, «параноидальное» подключение перебором, открытие 2 сессий от 2 клиентов изнутри межсетевых экранов). И удобная для пользователя. Но это — головная боль безопасников, если надо закрыть.

И торрент, думаю, полезен многим (хотя ИМХО его влияние и популярность сильно раздуто и мне не очень понятно)…

Только одно «но»: лично я совсем не уверен, что в один непрекрасный момент миллионы компьютеров пользователей популярных сервисов не превратятся в один гигантский ботнет, от которого не будет спасения… Достаточно «обновить версию».

Я очень рад был бы ошибаться. Опровергните мои слова. И можете называть меня параноиком и паникером :)

С уважением, Сергей Федоров
Tags:
Hubs:
Total votes 237: ↑149 and ↓88+61
Comments222

Articles