К ошибкам в разного рода программном обеспечении мы все уже успели привыкнуть. То тут, то там кем-то открывается новая дыра, после чего следует неизбежный процесс нервотрёпки и латания. Впрочем, число пользоватей любого продукта редко бывает велико, а потому и масштабы влияния "дыры" вобщем-то небольшие. Операционные системы Microsoft здесь - "приятное" исключение, но и они ограничиваются лишь пользователями персоналок. А попробуйте представить, что случится, если отыщется универсальная дыра, которая затронет не только всех пользователей Сети, но и пользователей цифровых устройств вообще. Фантастика? Отнюдь нет, как раз сейчас все мы - свидетели такой глобальной драмы.

Собственно, началось всё ещё прошлым летом, когда группа исследователей одного из финских университетов в результате тестирования различных сетевых протоколов на устойчивость к некорректным запросам обнаружила, что очень многие реализации известного протокола SNMP умерщвляются влёгкую. Любопытствующие могут заглянуть в первичный отчёт, но в целом диапазон ошибок, возникавших при скармливании таким сетевым устройствам и программам некорректных запросов, сводился к переполнению буфера, зависанию от неправильных строк и "умиранию" под слишком большим количеством приходящих пакетов. Этого вполне достаточно, чтобы заставить поддерживающее SNMP устройство либо просто замолчать, либо работать так, как это нужно атакующему.

Для того, чтобы оценить масштабы случившегося, сделаем экскурс в прошлое. Основы SNMP (Simple Network Management Protocol) были заложены в 1988-м году - он появился как ответ на возникшую потребность в универсальном инструменте для удалённого администрирования устройств в TCP/IP-сетях. С тех пор он успел превратиться в стандарт и подвергнуться множественным доработкам, так что сегодня существует уже версия 3. Используют его практически везде: в операционных системах (почти во всех), сетевых устройствах (от свитчей до кабельных модемов), в офисном оборудовании (сетевые принтеры, сканеры), в бытовой электронике (цифровые камеры), в медицинском и промышленном оборудовании. Везде.

Главная проблема SNMP в том, что его защищённости внимания никогда не уделялось - ведь потенциально он нужен лишь для локальных сетей. Начать хотя бы с того, что все пакеты в нём передаются в виде обычного текста. Но и это ещё полбеды. Самое тяжёлое, что по мере возникновения новых спецификаций SNMP, производители добавляли в свои устройства соответствующие этим спецификациям новые функции, но так и не обращали внимания на корректность обработки неправильных запросов. Всё это вынудило финских исследователей замолчать свои результаты и передать их в CERT - организацию, которой по силам связаться с каждым производителем и донести важность проблемы.

CERT занимался этим как минимум полгода. Предать гласности полную информацию о случившемся было решено лишь в середине февраля, после того, как в прессу начали просачиваться слухи о ведущейся работе. Постоянно обновляемый откликами от новых и новых производителей пресс-релиз замечателен во многих отношениях. Во-первых, потому что блестяще демонстрирует совершенный пофигизм в стане производителей: уязвимыми оказываются даже современные продукты, поддерживающие SNMP версий отличных от v1 (той, что изучали финны). Во-вторых, тем, что работа над созданием патчей идёт крайне медленно, откликнулись далеко не все из предупреждённых, а многие из откликнувшихся отвечают откровенным… пиаром (мы… всегда… почитайте ответ Netscape)!

Надо полагать, сисадмины уже озаботились случившимся и либо отыскали нужные патчи, либо начали обращать внимание на SNMP-активность в вверенном им хозяйстве. Рядовым пользователям сложнее. Реализация поддержки протокола SNMP во всех ОС семейства Win9x/NT/2k подвержена ошибкам, а патчей пока ещё нет. Да, по умолчанию все SNMP-сервисы в этих ОС выключены, но всё же каждому стоит перепроверить и удалить все те лишние сетевые приблуды, что установлены из любопытства. Час настал и самое время заняться профилактикой: согласно вышеупомянутому отчёту CERT первые пробные атаки через SNMP уже проведены.