"Великий китайский брандмауэр" взломан
Эксперты нашли серьезные уязвимости в «Великом китайском брандмауэре», отделяющем Китай от запрещенных зарубежных ресурсов. С помощью этого инструмента цензуры можно совершать DoS-атаки на китайские серверы.
Возможность взлома «Великого китайского брандмауэра» обнаружили эксперты по компьютерной безопасности Кембриджского университета. Согласно их заявлению, китайские брандмауэры, использующие маршрутизаторы Cisco, отсеивают пакеты с данными, в которых содержатся запрещенные слова, например, «Falun» (часть названия запрещенной религиозной группы «Falun Gong»). Исследователи отправляли «Стене» множество пакетов с этим словом. Выяснилось, что при обнаружении запрещенных слов, система шлет на оба конца соединения пакеты «reset», означающие разрыв TCP/IP соединения. Если игнорировать их на стороне и клиента, и удаленного сервера, то обмен данными проходит без цензуры, заявляет исследователь компьютерной лаборатории Кембриджа Ричард Клейтон (Richard Clayton).
По мнению кембриджских экспертов, используя "Великий брандмауэр", можно заблокировать доступ к китайским сайтам, в том числе правительственным. Получив поддельный пакет с запрещенным словом от якобы правительственного сайта, система блокирует доступ к нему на некоторое время. Посылая такие пакеты, злоумышленник может отключить систему обновления Windows или доступ к серверам китайских посольств за рубежом. Более того, используя уязвимости "Стены", можно устроить серьезную атаку «отказ в обслуживании» (DoS), причем даже через коммутируемое соединение. За 20 минут, генерируя 100 фальшивых пакетов в секунду, злоумышленник имеет возможность заблокировать 120 тысяч соединений за "Великим брандмауэром".
"Если исследователи не ошиблись, и правильно поняли алгоритм работы китайской системы защиты, то описанная ими атака вполне возможна, - комментирует Михаил Савельев, начальник отдела продвижения решений компании "Информзащита". - Правда, на мой взгляд, опасность ее немного преувеличена, особенно если учесть, что в последнее время Китай пытается использовать для работ ИТ-систем исключительно собственные программные продукты, то есть доступ ко всем китайским серверам обновлений останется. Если же это действительно когда-нибудь станет проблемой для Китая, то, скорее всего, алгоритм фильтрации будет пересмотрен и усовершенствован".
Что касается эффективности самой цензуры в Китае, российский эксперт оценил ее следующим образом: "Если не вдаваться в эмоциональные оценки того, нужна цензура или нет, то можно сказать о том, что предпринимаемые китайскими властями меры носят исключительно показательный характер. Существует огромное число способов получить доступ к любым сайтам, заблокированным по IP или URL адресам. Простейший пример – организовать VPN тоннель до какого либо сервера анонимайзера, и просматривать информационные ресурсы, оставаясь недоступным для средств цензуры. Хотя, если говорить о «Поднебесной» с учетом их послушания решениям властей, то возможно в Китае для решения указанной проблемы достаточно простого запрета".
Интересные материалы: все новости
|