Шесть устаревших протоколов, которые вредны Интернету

Интернет стал таким, каким мы его теперь видим, не благодаря продуманному плану построения. Он развивался стихийно, благодаря различным протоколам, изобретавшимся “по случаю”, чтобы удовлетворить нужды момента. При этом безопасности уделялось очень мало внимания, максимум, о чем думали их создатели – это о защите от назойливых соседей, а не от нападения бандитов.

В результате мы имеем набор устаревших протоколов, уязвимых для эксплойтов. Часть уязвимостей прикрываются “заплатками”, но очевидно, что полумерами тут не обойтись – и протоколы требуют полной замены. InfoWorld собрал “коллекцию” из шести наиболее опасных для современной Сети протоколов. D-Russia представляет изложение статьи.

BGP: Border Gateway Protocol

BGP (протокол граничного шлюза) – основной протокол динамической маршрутизации в Интернете. Он используется роутерами для обмена информацией об изменениях в топологии Интернета (о достижимости подсетей между группами маршрутизаторов), что делает его одним из старейших ключевых сетевых протоколов. Действующая версия BGP датируется 1994 годом.

Из-за BGP данные легко можно подменить фальшивкой – например, с какого IP-адреса пришел пакет. На этой уязвимости основан спуфинг (от англ. spoof — мистификация). Он применяется с целью сокрытия истинного адреса атакующего.

В настоящее время эта уязвимость не поддается “починке”. А из-за фундаментального значения BGP его нельзя быстро и безболезненно заменить.

SMTP: Simple Mail Transfer Protocol

SMTP разрабатывался как простейший способ доставки почты от пользователя к пользователю в те времена, когда Интернет был юн (в 1982 году), а разработчики не думали о возможных угрозах. С тех пор вышло несколько расширений к протоколу (самый свежий – в 2008 году), предназначенных для усиления его безопасности, однако кардинально улучшить SMTP нельзя – и подделка адреса отправителя письма является на сегодня вполне доступным делом.

DNS: Domain Name System

Из-за того, что DNS (система доменных имён, разработана в 1983 году), “переводящий” IP-адреса в доменные имена, является основополагающим интернет-протоколом, он стал привычной целью для хакерских атак, использующих его уязвимости и низкий уровень защищенности софта, им управляющего.

Начиная с 2010 года в DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами. К сожалению, DNSSEC не идеальное решение – он может создать помехи для работы DNS-сервера под высокой нагрузкой, также его возможно использовать для организации DDoS-атак.

NTP: Network Time Protocol

Благородна задача NTP (разработан в 1985 году) – синхронизировать время на всех компьютерах в мире. Но, как и у остальных древних протоколов, его защита близка к нулю, что позволяет использовать его ботнетами для организации DDoS-атак. Однако патчи для NTP-серверов отличаются продуманностью и надежностью, так что в настоящее время эта опасность практически устранена, хотя неизвестно, что будет завтра.

IPv4

Четвёртая версия интернет-протокола (Internet Protocol version 4) описана в сентябре 1981 года и использует 32-битные (четырёхбайтные) адреса, ограничивающие адресное пространство 4 294 967 296 (2 в 32-й степени) значениями. На смену IPv4 идет IPv6, миграции на который мешает главным образом инерция. Наибольшее распространение на сегодня IPv6 получил в мобильных 4G-сетях.

Как сообщал D-Russia.ru,  в начале декабря была обнародована статистика, согласно которой, Россия в большей степени, чем США, но менее Европы и Азии готова к использованию протокола IPv6 для адресации онлайн-ресурсов и устройств в Сети.

SSL: Secure Sockets Layer

Чем старше протокол, тем легче его сломать – и тем насущнее вопрос замены. Криптографический протокол SSL требовал замены много лет, но только сейчас к этому вопросу подошли вплотную, поскольку 14 октября 2014 года была выявлена уязвимость, названная POODLE (Padding Oracle On Downgraded Legacy Encryption). Она позволяет злоумышленнику осуществить атаку Man-in-the-Middle («человек посередине», MITM-атака — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале) на соединение, зашифрованное с помощью SSL 3.0. Уязвимость POODLE — это уязвимость протокола, а не какой-либо его реализации, соответственно, ей подвержены все соединения зашифрованные действующей версией SSL.

Первая публичная версия SSL обнародована в 1996 году, а протокол TLS (Transport Layer Security) которым следует заменить SSL, появился в 1999-м. На сегодняшний день активно используется его версия 1.2, выпущенная в 2008 году. Однако SSL не ушел со сцены, его поддерживают все основные браузеры, хотя доля транзакций с его помощью невелика (например, для FifeFox она равна 0,3%).

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: