Уязвимая безопасность
Дата: 14.04.2004Источник: "Сетевой журнал"
Автор: Сергей Лосев
Решений и технологий, позволяющих обезопасить персональный компьютер, информационную сеть или корпоративную базу данных от вторжений злоумышленников, создано немало. Однако они далеки от совершенства – пожалуй, главной угрозой безопасности сегодня стал интернет: вирусы и спам лезут по электронной почте, "аське" и с Web-сайтов. Парадокс еще и в том, что чем больше появляется способов защиты, тем уязвимее становится компьютер.Системы информационной безопасности совершенствуются год от года: на смену отдельным продуктам приходят комплексные системы, очередная версия антивируса ловит десятки тысяч вирусов, червей и троянцев, новомодные биометрические средства безопасности не пускают пользователей к защищенным объектам без обязательной процедуры аутентификации по сетчатке глаза или отпечатку пальца. Все это смахивает на фантастику, в реальной жизни современные технологии куда прозаичнее и несовершеннее – и биометрия нередко дает сбой, и пароли всегда можно подобрать, и поток новых модификаций вирусов, которые не распознаются пока антивирусными пакетами, не уменьшается. Многие сегодняшние усилия по укреплению фундамента безопасности корпоративной системы назавтра рассыпаются в прах: стоит на секунду ослабить бдительность – и почтовый ящик забит спамом, в почтовых пакетах и "аськах" беснуются вирусы, забравшийся без ведома пользователя троянец рассылает сам себя по адресной книге, защититься от сбоев, червей, потери данных с помощью вчерашних средств сегодня практически невозможно. IDC (www.idc.com) считает, что средства авторизации и администрирования уже занимают более 70% всего сектора информационной безопасности и инвестиции в них ежегодно растут на 30%, но способны ли они гарантировать сохранность важных данных?
Защищая информацию на жестких дисках, в локальной сети и интернете, пользователи, как правило, прибегают к простому и испытанному средству – паролям. При этом как сегодня, так и пять, и десять лет назад мало кто заботится о надежных способах хранения этих данных. Пароли к FTP и почтовым серверам, защищенным разделам сайтов и служебным папкам локальной сети запоминаются непосредственно в программах доступа к тем или иным ресурсам, а то и вовсе записываются на бумажке, прикрепленной к монитору, так что до всех этих секретов добраться не просто, а очень просто. Конечно, на рынке доступны аппаратные средства аутентификации для ввода и хранения логинов, паролей и ключей (хотя так ли велик спрос на них?). Конечно, они в значительной степени унифицированы. Конечно, во многих проектах по построению корпоративных порталов для доступа к биллинговым системам и корпоративным базам данных применяются и смарт-карты, и USB-ключи, которые обеспечивают достаточно высокий уровень защиты, но они не являются гарантией того, что злоумышленник никогда не влезет в систему. Поскольку подобные системы обслуживаются программными комплексами, всегда можно написать эмулятор, который будет ловко обманывать их. Обычно именно так, через обман служебных программ, работающих с сетью, транспортными интернет-протоколами и Web-сайтами, и происходят проникновения и атаки корпоративных сетей. Второй этап прост: в Windows среди сотен всевозможных DLL-библиотек легко спрятать червя, который забирается в одну из незакрытых в системе дыр и порой совершенно незаметно для пользователя (а иногда и открыто) перебирает пароли доступа, передает или уничтожает информацию.
Именно здесь вперед выступает один из самых важных вопросов безопасности – кто виноват? По данным Computer Security Institute (www.gocsi.com), до 75% ущерба корпоративной информации наносит человек. Конечно, здесь всегда на страже системный администратор, выстраивающий заслоны на пути спама и вирусов, но с другой стороны – он существо сговорчивое...
На втором месте, пожалуй, стоят технологии и продукты (хотя и они создаются людьми): все те удобства и сервисы, которые предоставляют пользователям разработчики информационных систем, а среди них – доступ к корпоративной информации через интернет, по радиосетям, с мобильных устройств (от КПК до сотовых телефонов, научившихся исполнять небольшие Java-программы) в значительной мере снижают степень защиты. Радиосети, как уже неоднократно писал "Сетевой", ненадежны – несмотря на стандарты WEP/WPA, принятые в рамках IEEE 802.11, перехватить и расшифровать передаваемые по беспроводным сетям данные не так уж и сложно, а получив в свое распоряжении пароли, можно прибегать к традиционным методам проникновения в систему, к примеру, через самые обыкновенные "дыры", которые хотя и закрываются разработчиками и вендорами, но обнаруживаются снова и снова… Упомянутые выше смарт-карты тоже порой несовершенны – для них нужен специальный карт-ридер, который снижает мобильность и, безусловно, влияет на конечную стоимость решения. Словом, идеальных средств безопасности не бывает…
Встает вопрос: какой процент от общего бюджета следует вкладывать в безопасность при создании или внедрении информационной системы и на какие аспекты следует обращать внимание в первую очередь? Слабые места любой системы по большому счету известны уже не первый год – хакеры, спамеры и вирусописатели влезают через незащищенные порты и интернет-протоколы, а с помощью почтовых вирусов и червей переполняют стек, добираясь до самых уязвимых компонентов ОС. Тем не менее по оценкам многих компаний-интеграторов информационной безопасности не уделяется должное внимание даже в крупных проектах: доля рынка ничтожно мала и не превышает сегодня 3%. Принадлежит она сегодня специализированным компаниям, поставляющим собственные решения для безопасности, как правило, в своем собственном сегменте, – антивирусные пакеты, брандмауэры, программно-аппаратные средства защиты, смарт-карты и т.д., а иногда объединяющим все эти средства в некий "джентльменский" набор средств безопасности.
Подавляющая часть этих программных продуктов работает в среде Windows компании Microsoft – по понятным причинам эта система получила наибольшее распространение в России, хотя заслуга тут не столько Microsoft, сколько пиратства. Столь огромная популярность породила другую проблему – система частенько подвергается атакам со стороны вирусописателей и спамеров. Эпидемии случаются довольно часто. Не так редки случаи, когда вирус через Web-браузер или почтовый клиент проникал в систему и самопроизвольно запускался, нарушая работу системных сервисов.
Обновление операционных систем с закрытым кодом (к которым относится Windows) осложняется тем, что, как правило, компании-разработчики не спешат с выпуском "апдейтов" и сервис-паков; конечно, они появляются регулярно, но далеко не всегда системные администраторы и сотрудники служб информационной безопасности знают о них. Эти работы – обновление антивирусных баз, загрузка и установка обновлений, настройка межсетевых экранов, антиспамеров – входят в постоянные расходы компании на безопасность.
В последние годы произошел некий перекос в сторону продуктов с открытыми кодами, что, пожалуй, тоже не совсем правильно. Создавать наиболее критичные с точки зрения безопасности службы (такие, как корпоративная почта, файловые хранилища) на базе Open Source-продуктов следует весьма осторожно. Хотя исходный код, который непременно в них включается, позволяет реализовывать гибкие системы и вовремя изменять их функции, мнения экспертов в отношении открытых продуктов в целом и о Linux в частности прямо-таки противоположные. Плюсом является огромная скорость обновления и латания дыр, к минусам – то, что комплексных проверок надежности кода никто в общем-то не проводил. Процедура эта весьма долгая, кропотливая и дорогая. В ней легко допустить ошибку и в результате сделать систему безопасности уязвимой. Кроме того, исходный код исследуется не только на предмет надежности, но и для поиска дыр. Кстати, именно этой точки зрения придерживается компания Microsoft. Недаром же реакция редмондской корпорации на недавнюю утечку части исходных кодов операционной системы Windows 2000 была негативной: ее официальные лица предупредили весь компьютерный мир о том, что следует ждать более хитроумных вирусов, троянцев и червей.
Если на некоторое время отвлечься от противостояния между сторонниками Windows и Linux, то реальная безопасность зависит от того, как настроены соответствующие компоненты и насколько опытны специалисты, занимающиеся обслуживанием и развитием информационной безопасности компании. Иными словами, человек является, с одной стороны, источником уязвимостей, а с другой – он же защищает корпоративные системы и сети от взломов и атак. Решения на базе открытых кодов требуют большей квалификации от ИТ-сотрудников, больших затрат и достаточно высокой "стоимости владения". Open Source-системы (кстати, они далеко не всегда связаны с миром Linux, открытый код прижился и в мире Windows) не преподаются на специализированных курсах и, как правило, не сертифицируются, а доказывать собственные знания здесь можно лишь на практике, методом проб и ошибок.
При работе с Open Source-продуктами специалисты придерживаются довольно простого принципа: ставить только проверенные компоненты. Небезынтересная особенность этой категории программ заключается в том, что одновременно существуют по меньшей мере две версии: устойчивая предпоследняя, в которой исправлены все ошибки, и более новая, с еще не до конца отлаженным кодом. Одни не любят рисковать и, предпочитая не самую новую версию, возможно, теряют в функциональности программы, другие, напротив, рискуют, берут все самое новое и получают положенные доли и опыта, и головной боли. К слову, именно такой подход применяется на крупнейшем ресурсе www.sourceforge.net, который объединяет сотни тысяч Open Source-систем, а также предоставляет гибкие средства для сопровождения любых программ (от крохотных утилит в несколько килобайт до сложных ERP-систем размером в десятки мегабайт): контроль версий, баг-листы, форумы, файловые архивы и т.п. Таким образом отсекаются лишние и ненадежные компоненты, выстраивается многоуровневая защита и защищаются наиболее уязвимые модули информационной системы от атак злоумышленников как извне, так и внутри сети.
Впрочем, многие громко сказанные слова о правильных настройках и проверенных компонентах программных систем хороши в теории – на практике о них частенько забывают. Основные причины плохой памяти в том, что обучению технологиям построения защищенных информационных систем и аппаратно-программным средствам защиты уделяется недостаточное внимание. Низкий уровень безопасности большинства информационных систем связан с неумением (или нежеланием) пользователей выполнять целый ряд на первый взгляд простых операций: загрузку обновлений (даже несмотря на то что во многих коммерческих продуктах эта процедура автоматизирована – одно-два нажатия мыши, и нужные файлы уже скачиваются), изменение настроек (далеко не всегда нужно залезать в дебри реестра Windows, чтобы «подкрутить» какой-нибудь параметр межсетевого экрана или антивирусного пакета).
Между тем учебных центров и авторизированных курсов навалом, сертифицированные преподаватели ждут своих слушателей, однако компании (не только российские, но и европейские, и американские) продолжают трубить о дефиците специалистов-безопасников как инженерных, так и юридических специальностей. Сотрудники 70% британских компаний заявляют, что не проходили обучения в этой области, а еще большее их количество (около 80%, а в США эта цифра достигает 93%) сталкивалось с реальными проблемами безопасности и было не в состоянии самостоятельно решить их. Видимо, поэтому возникают всевозможные казусы, связанные опять-таки с "самой надежной в мире операционной системой Linux". По недавним исследованиям компании mi2g (www.mi2g.com), проводившимся в январе этого года, оказалось, что лидером по числу хакерских атак стала именно Linux (около 80%), на втором месте с огромным отставанием была Windows (12%), все прочие системы (BSD, Mac OS X и другие еле-еле набирали 3%). Выходит, что о соответствующих курсах и грамотных специалистах компании должны позаботиться самостоятельно – именно по этому пути пошли многие российские фирмы, специализирующиеся в данной области.
Авторские курсы, нацеленные исключительно на решение реальных проблем, для различных категорий пользователей от руководителей высшего звена до системных администраторов созданы "Информзащитой", "Специалистом", сетевой академией "Ланит", академией "АйТи" и другими компаниями. Проходя дважды в год необходимые тренинги (по оценкам подавляющего числа специалистов по безопасности, такая периодичность позволяет держать себя, что называется, в форме и обновлять в памяти основные положения международного стандарта управления информационной безопасностью ISO 17799, который тоже постоянно совершенствуется и пополняется), можно не чувствовать себя абсолютно беспомощным из-за какого-нибудь очередного вируса MyDoom, при DoS-атаке и т.п., а решать конкретные задачи – от обоснования необходимости вложения средств в информационную безопасность до аудита информационных систем и окончательной проверки корпоративной системы на соответствие мировым стандартам (если таковая, конечно, важна).
Молодому специалисту с охапкой сертификатов и знаниями о безопасности открыты многие двери и в первую очередь одно из самых перспективных и быстро развивающихся на сегодняшний день направлений – системы раннего обнаружения атак. Рынок подобных средств необычайно велик: если шесть лет назад его объем достигал 140 млн. долл., то к этому году он увеличился в 7–8 раз и превысил 1 млрд. долл.
Никто не будет предупреждать заранее о том, что на ваш сервер или корпоративную интранет-сеть на следующей неделе готовится нападение. "Зевнуть" момент атаки можно запросто– человек, будь он хоть семи пядей во лбу, вряд ли способен обработать огромный объем трафика и выявить в гигабайтах информации те ничтожные килобайты, которые в момент "Х" несут угрозу корпоративному серверу. Однако программному или аппаратному сканеру это вполне по силам – поэтому спрос на ПО и оборудование, в котором интегрированы функции брандмауэра и средства для обнаружения атак, довольно высок. Первой компанией, предложившей подобное решение (в корпоративном секторе продукты для индивидуальных пользователей существуют еще со времен Windows 95, провозгласившей среди прочего курс на интернет), была Cisco Systems, вслед за ней потянулись и другие вендоры – Nokia, Nortel и т.д.
На этом список средств защиты не заканчивается – развиваются и другие технологии, к примеру, смарт-карты, USB-модули для аутентификации пользователей, программно-аппаратные комплексы для защиты беспроводных систем. Принятие ряда законов и нормативных актов (в частности, "Об ЭЦП") приведет к росту сайтов электронной коммерции – магазинам, витринам, контент-сайтам, распространяющим платную информацию. Весьма вероятно, что появятся клиент-серверные программно-аппаратные продукты для проведения безопасных микроплатежей через Сеть, которые учитывают, что наиболее уязвимые участки находятся на стыке между серверами, каналами связи и компьютерами клиентов: информация может быть перехвачена и изменена в тот момент, когда она покинула Web-сервер, курсирует по узлам Сети или загружается непосредственно в компьютер пользователя. Текущие стандарты и протоколы не гарантируют стопроцентную защиту, а потому появления новых технологий и алгоритмов шифрования для передачи данных по проводным и беспроводным сетям долго ждать не придется... Не обойдены вниманием и системная интеграция, роль которой сводится к выбору, поставкам, настройке, консультации и обслуживанию компонентов информационной сети, и аутсорсинг средств безопасности. Не секрет, что в защите нуждаются не только операционные системы, но и базы данных, офисные пакеты, бизнес-приложения ERP, CRM и т.п. Ожидается, что доля этого рыночного сегмента также возрастет в несколько раз – с 5% в 2002 году до 25% к концу 2004-го.
Рынок средств защиты необычайно широк: компьютерные системы и технологии развиваются и обновляются стремительно и постоянно, а это означает, что любая идея или концепция, которая сегодня кажется полезной и нужной, завтра может стать опасной. Не сказать, что исполнение почтовым клиентом Outlook скриптов на JavaScript или текстовым процессором Word макросов на Visual Basic for Applications столь уж бесполезная задача – с ее помощью можно спроектировать интерфейс, написать несложное приложение и реализовать отсутствующие функции, однако именно эта простота и доступность стала одним из главных методов проникновения компьютерных вирусов в систему. Другой пример: пиринговые сети, ставшие несколько лет назад безумно популярными благодаря возможности загружать "свежачок" (кино, музыка, литература, игры, программы), на самом деле тоже могут оказаться опасными, ведь по большому счету по Сети скачивается "черный ящик", внутри которого на деле оказывается все что угодно.
Корпоративная среда, возможно, лишена некоторых из этих уязвимых "прелестей": в компаниях закрыты многие лазейки во внешний мир – довольно часто ограничен доступ к некоторым сайтам, NNTP-, FTP-серверам. Конечно, в чем-то эта мера помогает обезопасить информационные сети, однако она является промежуточной. Многие крупные компании (в том числе Microsoft, Cisco Systems, Novell, SAP AG), работающие на корпоративном рынке, выпускают новые продукты, уделяя значительное внимание средствам безопасности. Уже не так страшны пираты – они уступили свое место в заголовках новостей компьютерных компаний таким понятиям, как спам, вирусы, атака, взлом. Например, Microsoft в самый первый выпуск Windows XP уже включила набор инструментов для защиты трафика (персональный брандмауэр), в скоро ожидаемом Service Pack 2 появится вирусный сканер, а кроме того, корпорация планирует нанести удар и по спам-рассылкам, разрабатывая технологию Caller ID for e-mail, суть которой состоит в том, чтобы видоизменить способ отправки письма адресату. Подобных примеров можно найти еще немало, и все они говорят об одном: борьба с уязвимостями компьютерных систем и с теми, кто умышленно пользуется "дырами", отнюдь не закончена.
| Добавить комментарий |
| Всего 0 комментариев |
