Chyby softwaru způsobují útoky

Univerzita ve Wisconsinu (www.wisc.edu) zažila nebývale silný a rozsáhlý útok DDoS (Distributed Denial of Services), k...


Univerzita ve Wisconsinu (www.wisc.edu) zažila nebývale silný a rozsáhlý útok
DDoS (Distributed Denial of Services), který směřoval na jeden z jejích
veřejných Network Time Protocol (NTP) serverů. Jednalo se o nepřetržitý proud
zasílání žádostí o přesný čas z mnoha různých zdrojů, přičemž se provoz
pohyboval v objemech stovek až tisíců paketů za sekundu. Co způsobilo zahlcení
linek provozem ve stovkách Mb/s? Hackerská skupina? Bohužel ne tentokrát se
jednalo o "drobnou" softwarovou chybu.
Lidé na univerzitě zkoumající, co masivní útok působí, zjistili, že pochází od
tisíců internetových hostitelů po celém světě. Nejzávažnějším zjištěním ovšem
bylo to, že se nejedná o plánovaný útok, ale zřejmě o chybu firmwaru v levných
internetových směrovačích společnosti NetGear (www.netgear.com).
Kde vznikla tato nebezpečná chyba? V implementaci klientského SNTP kódu
protokolu do internetových směrovačů. Jedním z několika důvodů útoku totiž
byla mj. natvrdo zadaná IP adresa univerzitního NTP serveru. Další
programátorskou chybou byl příliš krátký interval mezi opakováním dotazů na
NTP server v případě, že neodpoví ve stanoveném čase. Tvořil totiž pouhou
jednu sekundu!
Ve spolupráci s univerzitou se následně podařilo NetGearu útok zastavit a
upgradovat firmware směrovačů. Dále také odsouhlasil pravidla, kterých se bude
při vývoji a implementaci kódu držet.
Podle různých studií každých tisíc řádků kódu obsahuje od pěti do dvaceti
"much". Většinou se neprojeví, neboť se obvykle jedná o syntakticky špatný
zápis zdrojového kódu, který šťastnou náhodou prošel kompilací a nebyl
odhalen při testování.
S narůstající složitostí aplikací a jejich provázaností s ostatními mohou mít
i drobné chyby fatální důsledky pro funkci celého propojeného systému. Trendem
současnosti je pak snaha o zachycení takových bezpečnostních mezer hned při
vývoji.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.