Támadás az idő ellen: vandál D-Link routerek?

[HWSW] Hazánkban is elterjedtek a D-Link hálózati eszközei, sokaknál D-Link ADSL-modem van otthon, de népszerűek a márka routerei, vezeték nélküli eszközei is. Azt azonban valószínűleg kevesen gondolnák, hogy egyes D-Link eszközök megvásárlásával hozzájárulhatnak egy globális internetes vandalizmushoz. Pontosan ezt állítja legalábbis egy dán férfi.

Tömeges támadás az internet időszerverei ellen

A D-Link egyes, világszerte talán több tíz- vagy százezres darabszámban eladott és beüzemelt eszközei tartalmaznak olyan képességet, hogy az interneten keresztül állítják be maguknak a pontos időt. Erre egyébként más márkák eszközei is képesek (többnyire az internetet az irodában, otthon megosztó routerek), ebben eddig nincs semmi különös.

A gond ott kezdődik, hogy az eszközök szoftverét alkotó mérnökök hozzá nem értéséből fakadóan gyakorlatilag hálózati támadás alá veszik az interneten keresztül pontos időt szolgáltató számítógép-hálózat magvát -- állítja Poul-Henning Kamp. A terhelés eloszlása érdekében az időt szolgáltató rendszer hierarchikus felépítésű, a D-Link egyes eszközei azonban úgy tűnik, megkerülik ezt a hierarchiát, és közvetlenül a forrásként szolgáló szerverektől igyekeznek lekérni pontos időt -- túlterhelve azok hálózatát, és a gépeket.

Ezen gépek többsége nyilvános hozzáférésű, non-profit üzemeltetésű, így védelmük mind technikailag, mind anyagi oldalról rendkívül nehézkes. A D-Link azonban semmibe vette a rendszer egyértelmű használati szabályait, így jogosulatlan kérések milliói bombázzák ezeket a szervereket, ami nem kevés anyagi kárt is okoz az üzemeltetőknek.

A D-Link néhány terméke olyan szoftvert tartalmaz, amely magába égetve hordozza a pontos időt szolgáltató NTP-hálózat stratum 1 szervereinek listáját. Ez sérti a legtöbb ilyen kiszolgáló felhasználási feltételeit, hiszen kliensek egyáltalán nem csatlakozhatnának rájuk. A felhasználás feltételeit azonban többnyire technikai eszközökkel, azaz erővel nem tartatják be, mivel ez további szoftver- vagy hardver-eszközöket, konfigurálást, végeredményben, embert, pénzt, fáradságot követelne meg -- és még az NTP pontosságát is rontaná.

A rendszer azért működik, mert a többség ismeri a szabályokat -- tudja, hogyan kell viselkedn, de a D-Link tíz- vagy százezrével adott el az NTP-hálózat működését akaratlanul is sértő eszközöket, amelyekhez ha készült is javított firmware, a felhasználók többsége sosem frissítene rá -- hiszen valószínűleg halvány fogalma sem volna az esetről.

Az NTP-hálózat

Az interneten, messze még annak tömeges ismertsége vagy egyáltalán a web kifejlesztése előtt régóta üzemelnek olyan szerverek, amelyek a hálózaton keresztül szolgáltatják a pontos időt. Erre a célra külön protokollt fejlesztett ki Dave Mills még a 80-as évek közepén, amely a Network Time Protocol nevet nyerte el, azaz NTP-ként ismert. Az NTP-re felépülő rendszerek hierarchikusak és centralizáltak. Az időt rendkívüli pontossággal szolgáltató, azaz a pontos idő forrásának tekinthető szerverek a stratum 1 szinten vannak. Ezek a gépek valamilyen megbízható, elhanyagolható késleltetésű kapcsolattal egy pontos időt szolgáltató berendezéshez csatlakoznak (ezek a stratum 0 eszközök), vagy akár magukba építve tartalmazzák. Az internet felé a stratum 1-es gépek ily módon az idő elsődleges forrásai. Hogy a hálózati terhelés eloszoljon, és a pontos idő elosztása tömeges méretekben történhessen, a stratum 1 szerverekre csatlakoznak stratum 2 rétegben lévő gépek, amelyek körülbelül 10-100 ezredmásodperces pontossággal kapják meg a pontos időt, függően a hálózati viszonyoktól. A stratum 2 rétegben található kiszolgálókra csatlakoznak a stratum 3 szerverek, amelyek újabb 10-100 ezredmásodperces hibát hozhatnak magukkal, majd végül a kliensek, azaz a személyi számítógépek, és az aktív hálózati eszközök, mint például a routerek, az ebben a rétegben található gépekkel szinkronizálják időről időre a pontos időt. Ez a felépítés jellemzően a hozzáférési politikában még földrajzi, intézményi vagy hálózati behatároltsággal is párosul, azaz sok szerver csak bizonyos tartományban található, a feltételeknek megfelelő gépek számára biztosítja a szolgáltatást -- nem egyszer előzetes jóváhagyást követően.

A jelenségre Poul-Henning Kamp, a GPS.dix.dk címen található stratum 1 szerver üzemeltetője nyílt levelében hívta fel a figyelmet. Mint olvasható, a férfi 2005 novembere óta igyekszik megoldani a helyzetet a vállalattal -- sikertelenül. Eddig több mint másfél millió forintba került számára a helyzet felmérése és kivizsgálása, nem beszélve arról a több mint száz óráról, amelyet ezzel és a D-Link ügyvédjével való egyezkedéssel töltött.

Amennyiben a helyzet nem fog javulni -- mégpedig az előbb vázolt okok miatt nem fog --, a DIX (a BIX dán megfelelője) a hatalmas terhelés miatt a normál díj kétszeresét fogja kérni a most ingyen üzemeltetett gép tulajdonosától: közel kétmillió forintot évente. A GPS.dix.dk címre érkező forgalom 75-90 százaléka D-Link eszköztől érkezik. A szervert egyébként nagyjából 2000 kiszolgáló használja, így viszonylag fontos szerepet tölt be a dán interneten.

Kamp állítása szerint a D-Link többek között zsarolással vádolta meg, és olyan összeget ajánlott hallgatási pénzként, amely még az eddig felmerült kiadásokat sem fedezné. Ezek mellett pedig a vállalat nem ismer be semmit, a vállalat vezetői pedig semmiféle levélre nem reagálnak -- írja levelében Kamp. Azt találta, hogy még mindig körülbelül 25 termék szoftvere található meg javítatlanul a cég honlapján (azóta ezek eltávolításra kerültek).

Kamp azután fordult a nyilvánossághoz, hogy úgy találta, a D-Link nem tette meg a szükséges ellenlépéseket (új szoftverek készítése, a lehető legtöbb felhasználó értesítése), valamint egyáltalán nem mutat hajlandóságot az eddig okozott és a következő években bekövetkező károk megtérítésére, ami mintegy 8 millió forintot tesz ki összesen.

A D-Link válasza

Megkeresésünkre a D-Link hazai képviseletének marketing menedzsere, Dr. Kilbertus Viktor úgy reagált: "A levélíró és a D-Link között a levélben foglalt állítások valódiságáról jelenleg jogi egyeztetés folyik nemzetközi szinten. Ennek végeredménye minden más hasonló esetre is irányadó lesz. A D-Link jelenleg értékesített szélessávú eszközei nem tanúsítanak a levélben leírt magatartást."

Hozzátette, hogy a D-Link itthon egy kereskedelmi képviselete, egy közvetítő szerepet tölt be, a felelősségvállaló az itthon értékesített termékekre a D-Link Europe, azaz a garanciális ügyintézés, esetleges jogi követeléseket vele szemben lehet érvényesíteni, valamint ezekben a kérdésekben az európai központ állásfoglalása az irányadó.

Személyes meglátásként Kilbertus még annyit fűzött hozzá, számára elég hihetetlen a történet annak fényében, hogy a D-Link az ilyen természetű hibákat az európai vagy tajvani központ jellemzően 2-3 héten belül javítja. Elmondta, hogy a náluk jelzett hibákról azonnal, még aznap mindenki értesül a hazai csapat, azonnal továbbítják az európai központba, és megoldás rendszerint hamar születik.

A marketingvezető utólag, jelen cikk publikálását követően még hozzátette: "Az ilyen jellegű hibák a firmware-ekben találhatók. Ezeket a firmware-eket több gyártó is használja, így amennyiben ilyen hiba található a D-Link eszközökben, úgy ez megtalálható -- Magyarországon is jól ismert -- versenytársaink eszközeiben is. Tehát a probléma nem gyártóhoz, hanem firmware-hez köthető. A jelenleg kapható D-Link eszközökhöz biztosított firmwarek biztosan nem mutatnak ilyen jelenséget."

Az igazsághoz hozzátartozik, hogy nem a D-Link lenne az első vagy egyetlen vállalat, amelyik ilyen hibát vétve akaratlanul kárt okoz. Három évvel ezelőtt a NetGear a Wisconsini Egyetemen található NTP-szervert és az intézmény hálózatát terhelte túl. A probléma megoldásán külön csapat dolgozott, és a NetGear később jelentős összegeket adományozott az egyetemnek karitatív célból.

Véleménye van?

• szóljon hozzá a fórumban
• írjon szerkesztőségünknek!