Архивы: по дате | по разделам | по авторам

Против лома

АрхивКомментарий дня
автор : Евгений Золотов   06.08.2002

OpenSSH, продукт, предназначенный для сохранения приватности пользователей, на пару дней сам превратился в шпиона.

В мире виртуальном, как и в оффлайне, от взломщиков не может быть гарантированно защищено ничто. Какие бы защиты и замки не были придуманы, риск всегда остаётся - и даже сами создатели защит рано или поздно могут подвергнуться нападению. И хорошо, если взлом устраняется быстро и с минимальными потерями. Хуже, если в число пострадавших вместе с дистрибьюторами продуктов попадают рядовые пользователи. Во что это может вылиться, замечательно демонстрирует история, приключившаяся с разработчиками и пользователями программного инструмента OpenSSH - дистрибутив которого был модифицирован злоумышленником и разошёлся по миру в сотнях, а может быть и тысячах экземпляров.

Впрочем, прежде, чем перейти к собственно истории, стоит вспомнить что такое OpenSSH: это бесплатная открытая версия набора инструментов, реализующих функции протокола SecureShell (SSH). Разработка его ведётся двумя группами. Одна - основная - курируется создателями операционной системы OpenBSD и работает над продуктом, предназначенным только для этой ОС. Вторая группа использует наработки первой для производства портабельного варианта OpenSSH - работающего под другими ОС. Отличить второй продукт можно по наличию буковки "p" в номере версии. Последними на данный момент являются версии 3.4 и 3.4p1, соответственно.

Но вернёмся ко взлому. Точная дата так и не установлена, но, по воспоминаниям непосредственных участников событий, случилось всё где-то между 30-м и 31-м июля - когда сразу три дистрибутива OpenSSH (3.4, 3.4p1 и старый 3.2.2p1), выложенные на основном FTP-сервере проекта, поддерживаемом OpenBSD.org, были незаметно модифицированы неким взломщиком - заменившим исходные архивы на свои собственные. Вплоть до полудня 1-го августа, т.е. в течение почти двух дней, на сервере продолжалась нормальная деятельность по скачке модифицированных файлов дистрибьюторами и рядовыми пользователями. А потом сразу несколько человек забили тревогу.

Дело в том, что, модифицировав дистрибутивы, хакер оставил неизменными их контрольные суммы, указанные в сопровождающих файлах (изменить их он не смог по причине наличия на этих файлах PGP-подписи разработчиков) - и при попытке скомпилировать код пользователь получал сообщение о несовпадении исходной и вновь посчитанной сумм. О происходящем были оповещены разработчики, код был подвергнут анализу, в ходе которого выяснилось, что хотя основной код OpenSSH остался неизменным, к нему пристыкован новый кусок, который при компиляции всего пакета генерирует шпионскую программу, "троян". Запустившись, шпион этот пытается установить связь с удалённой машиной (IP-адрес которой неизменен и, как выяснилось, принадлежит австралийской компании SNS Online) и ждёт от неё команд на выполнение. Троян получает тот же уровень прав, что и сам OpenSSH, поэтому зачастую может предоставить атакующему доступ с правами администратора.

К сожалению, анализом кода и выпуском срочного бюллетеня раскрытие преступления и ограничилось. В самом деле, ломая FTP-сервер, хакер не оставил никаких следов, а отследить его сегодня уже вряд ли возможно - ведь даже зная IP-адрес "командного центра", сказать наверняка, что он принадлежит взломщику, нельзя: тот мог и просто воспользоваться чьей-то машиной. Успел ли хакер за прошедшие пару дней воспользоваться плодами своих трудов? Наверняка.

Обсудите материал в форуме

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.