У мудрости - уши, у глупости - язык

Заходит к врачу лысый мужик, а на голове у него лягушка. ...

Уязвимость в systemd, которую можно использовать для блокирования работы системы
Tue, 19 Feb 2019 10:12:17 +0300

Уязвимость в библиотеке MatrixSSL
Fri, 15 Feb 2019 10:32:12 +0300

Уязвимость в snapd, позволяющая получить root-привилегии в системе
Wed, 13 Feb 2019 10:59:21 +0300

Опубликована техника скрытия вредоносного кода в анклавах Intel SGX
Tue, 12 Feb 2019 14:44:14 +0300

Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
Mon, 11 Feb 2019 23:26:14 +0300

Раскрыты детали новой атаки на различные реализации TLS
Sun, 10 Feb 2019 10:33:08 +0300

Уязвимости в Android, FreeBSD, rdesktop и FreeRDP
Fri, 08 Feb 2019 09:51:58 +0300

Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства
Wed, 06 Feb 2019 20:15:55 +0300

Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа
Tue, 05 Feb 2019 14:12:53 +0300

В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre
Mon, 04 Feb 2019 12:19:30 +0300

В 29 Android-приложениях для работы с камерой и фото выявлен вредоносный код
Mon, 04 Feb 2019 11:00:22 +0300

Новая критическая уязвимость в Ghostscript, эксплуатируемая через ImageMagick
Thu, 24 Jan 2019 20:37:43 +0300

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет
Tue, 22 Jan 2019 22:19:44 +0300

Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов
Mon, 21 Jan 2019 21:19:31 +0300

Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера
Mon, 21 Jan 2019 09:09:23 +0300

IEEE 802.3 Уязвимости Аномалии Топология сети Размеры сети
Уязвимые точки сетей Ethernet

Материал из nag.ru.

Перед коммерческой сетью передачи данных задача обеспечения безопасности стоит намного более остро, чем в корпоративной сети. Как правило, нет никакой возможности контролировать узлы конечных абонентов, и необходимо пропускать все возможные типы протоколов передачи данных без ограничений.

Можно выделить несколько моментов, представляющих потенциальную опасность клиенту или оператору услуг.
Проникновение в сеть снаружи, из публичной сети Интернет.
Получение доступа к узлу внутри сети, угроза "от соседа".
Подделка учетных данных пользователем для получения несанкционированного доступа к ресурсам оператора;

Проникновение в сеть снаружи далеко не новая проблема. Надежной защиты от этого на сегодня нет вообще, и пользователей спасает низкая цена вопроса - едва ли кого-то могут заинтересовать частные пользователи. То есть, от непрофессионального взлома достаточно средств операционной системы и простейших персональных фаерволов, а серьезная атака слишком маловероятна.

В конце концов, пользователь сам должен заботиться о сохранении своих конфиденциальных данных, так как это не относится к сфере обязанностей оператора связи. Существуют предприятия, специально занимающиеся вопросами безопасности и защиты данных, но это отдельные (и весьма не дешевые) услуги.

Гораздо более опасна "внутренняя" угроза. Защита тут значительно слабее, и вдобавок для известного пользователя ("да это соседний магазин!") возможна ясная мотивировка "взлома" или "вредительства".

При этом надо сказать, что протокол Ethernet в своей основе не имеет механизмов защиты абонентов друг от друга. Он изначально создавался для связи пользователей внутри сети, а не предоставления закрытых каналов передачи данных. Соответственно задачи обеспечения даже самой минимальной безопасности фактически не ставились. Поэтому, в "классическом" Ethernet единственным способом отделения узлов друг от друга была установка сетевых экранов (брандмауэров), и разделение проходило на 3 (сетевом) уровне модели OSI.

В то же время, внутри ЛВС все устройства работают в единой среде на 2 (канальном) уровне, соответственно соседние узлы могут получить физический доступ к "чужим" кадрам, со всеми вытекающими из этого последствиями. Так, возможно устанавливать прямые соединения, "прослушивать", получать, и даже пропускать через свой фильтр "чужой" трафик.

Можно без преувеличения сказать, что некоммутируемый Ethernet вообще беззащитен. Все узлы физически получают все проходящие по сети кадры, и для этого не нужны специальные средства - достаточно простейшей программы "сниффера" (например, на Win-платформе широко известна программа NetXray, под юникс - tcpdump, ethereal, kismet - для wifi). При этом нешифрованные пакеты (в том числе ICQ, почта, IRC) могут совершенно свободно читаться соседом по сети.

В коммутируемой сети (построенной на неуправляемых коммутаторах) прямое прослушивание несколько затруднено, но защита все же недостаточна. Известно по крайней мере два простых способа перехвата кадров в такой ситуации. Это переполнение CAM-таблицы соответствие коммутатора (при этом он начинает работать подобно обычному хабу), и использование ложного ARP-сервера (в этом случае MAC-адрес атакующего узла замещает в САМ-таблице место граничного маршрутизатора).

Строго говоря, все эти проблемы присущи и передаче информации через Интернет. Операторы связи безусловно имеют доступ к нешифрованным сообщениям. Однако у них (кроме оговоренных законодательством обязанностей) значительно меньше мотивировка к "прослушиванию" сети.

С другой стороны, для провайдера ситуация то же не слишком удобна. Невозможность контролировать каждого пользователя в сети "по отдельности" означает, что сеть Ethernet фактически закрыта для надежного администрирования и управления. Оператор не может проконтролировать наверняка соответствие учетных данных и реального пользователя.

В простейшем случае, достаточно узлу сменить свой IP адрес на "соседский", и система учета трафика будет считать, что соединением пользуется "сосед", со всеми вытекающими из этого финансовыми последствиями для последнего. Контроль на уровне MAC-адреса то же не решает проблему - сменить его не многим сложнее, чем IP. А ведь только эти два адреса полностью характеризуют узел в обычной Ethernet-сети.

Хуже всего то, что при использовании большинства типов неуправляемых коммутаторов вполне возможна одновременная работа в сети двух узлов с одинаковыми IP и MAC адресам. Очевидно, что при этом большинство централизованных (установленных на маршрутизаторе) систем ограничения доступа не способно различить узлы, что открывает самые широкие возможности воровства трафика.

Можно применять различные методы контроля - от административной работы до профилактической проверки физического соответствия порта пользователю. Разумеется, это полумеры. Решить описанные выше задачи можно при помощи создания виртуального соединения (канала передачи данных, так или иначе "наложенного" на сеть), в котором можно задавать особые правила доступа к информации.

Остается добавить, что на сегодня существует много способов для достижения поставленной цели, что позволяет превратить Ethernet в мощный и недорогой транспортный инструмент. Однако их использование не слишком значительно, но неизбежно поднимает стоимость инфраструктуры передачи данных.

НОВОСТИ: Выпуск почтового клиента Geary 0.13 Sun, 17 Feb 2019 19:21:57 +0300

После полутора лет разработки выпущен почтовый клиент Geary 0.13, ориентированного на использование в окружении GNOME. Изначально проект был основан организацией Yorba Foundation, создавшей популярный менеджер фотографий Shotwell, но позднее разработка перешла в руки сообщества GNOME. Код написан на языке Vala и распространяется в рамках лицензии LGPL. Готовые сборки подготовлены для Ubuntu (PPA) и в форме самодостаточного пакета.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome