Центр исследования компьютерной преступности

home контакты

Уязвимая безопасность

Дата: 14.04.2004
Источник: "Сетевой журнал"
Автор: Сергей Лосев


lico/sergei.gifРешений и технологий, позволяющих обезопасить персональный компьютер, информационную сеть или корпоративную базу данных от вторжений злоумышленников, создано немало. Однако они далеки от совершенства – пожалуй, главной угрозой безопасности сегодня стал интернет: вирусы и спам лезут по электронной почте, "аське" и с Web-сайтов. Парадокс еще и в том, что чем больше появляется способов защиты, тем уязвимее становится компьютер.

Системы информационной безопасности совершенствуются год от года: на смену отдельным продуктам приходят комплексные системы, очередная версия антивируса ловит десятки тысяч вирусов, червей и троянцев, новомодные биометрические средства безопасности не пускают пользователей к защищенным объектам без обязательной процедуры аутентификации по сетчатке глаза или отпечатку пальца. Все это смахивает на фантастику, в реальной жизни современные технологии куда прозаичнее и несовершеннее – и биометрия нередко дает сбой, и пароли всегда можно подобрать, и поток новых модификаций вирусов, которые не распознаются пока антивирусными пакетами, не уменьшается. Многие сегодняшние усилия по укреплению фундамента безопасности корпоративной системы назавтра рассыпаются в прах: стоит на секунду ослабить бдительность – и почтовый ящик забит спамом, в почтовых пакетах и "аськах" беснуются вирусы, забравшийся без ведома пользователя троянец рассылает сам себя по адресной книге, защититься от сбоев, червей, потери данных с помощью вчерашних средств сегодня практически невозможно. IDC (www.idc.com) считает, что средства авторизации и администрирования уже занимают более 70% всего сектора информационной безопасности и инвестиции в них ежегодно растут на 30%, но способны ли они гарантировать сохранность важных данных?

Защищая информацию на жестких дисках, в локальной сети и интернете, пользователи, как правило, прибегают к простому и испытанному средству – паролям. При этом как сегодня, так и пять, и десять лет назад мало кто заботится о надежных способах хранения этих данных. Пароли к FTP и почтовым серверам, защищенным разделам сайтов и служебным папкам локальной сети запоминаются непосредственно в программах доступа к тем или иным ресурсам, а то и вовсе записываются на бумажке, прикрепленной к монитору, так что до всех этих секретов добраться не просто, а очень просто. Конечно, на рынке доступны аппаратные средства аутентификации для ввода и хранения логинов, паролей и ключей (хотя так ли велик спрос на них?). Конечно, они в значительной степени унифицированы. Конечно, во многих проектах по построению корпоративных порталов для доступа к биллинговым системам и корпоративным базам данных применяются и смарт-карты, и USB-ключи, которые обеспечивают достаточно высокий уровень защиты, но они не являются гарантией того, что злоумышленник никогда не влезет в систему. Поскольку подобные системы обслуживаются программными комплексами, всегда можно написать эмулятор, который будет ловко обманывать их. Обычно именно так, через обман служебных программ, работающих с сетью, транспортными интернет-протоколами и Web-сайтами, и происходят проникновения и атаки корпоративных сетей. Второй этап прост: в Windows среди сотен всевозможных DLL-библиотек легко спрятать червя, который забирается в одну из незакрытых в системе дыр и порой совершенно незаметно для пользователя (а иногда и открыто) перебирает пароли доступа, передает или уничтожает информацию.

Именно здесь вперед выступает один из самых важных вопросов безопасности – кто виноват? По данным Computer Security Institute (www.gocsi.com), до 75% ущерба корпоративной информации наносит человек. Конечно, здесь всегда на страже системный администратор, выстраивающий заслоны на пути спама и вирусов, но с другой стороны – он существо сговорчивое...

На втором месте, пожалуй, стоят технологии и продукты (хотя и они создаются людьми): все те удобства и сервисы, которые предоставляют пользователям разработчики информационных систем, а среди них – доступ к корпоративной информации через интернет, по радиосетям, с мобильных устройств (от КПК до сотовых телефонов, научившихся исполнять небольшие Java-программы) в значительной мере снижают степень защиты. Радиосети, как уже неоднократно писал "Сетевой", ненадежны – несмотря на стандарты WEP/WPA, принятые в рамках IEEE 802.11, перехватить и расшифровать передаваемые по беспроводным сетям данные не так уж и сложно, а получив в свое распоряжении пароли, можно прибегать к традиционным методам проникновения в систему, к примеру, через самые обыкновенные "дыры", которые хотя и закрываются разработчиками и вендорами, но обнаруживаются снова и снова… Упомянутые выше смарт-карты тоже порой несовершенны – для них нужен специальный карт-ридер, который снижает мобильность и, безусловно, влияет на конечную стоимость решения. Словом, идеальных средств безопасности не бывает…

Встает вопрос: какой процент от общего бюджета следует вкладывать в безопасность при создании или внедрении информационной системы и на какие аспекты следует обращать внимание в первую очередь? Слабые места любой системы по большому счету известны уже не первый год – хакеры, спамеры и вирусописатели влезают через незащищенные порты и интернет-протоколы, а с помощью почтовых вирусов и червей переполняют стек, добираясь до самых уязвимых компонентов ОС. Тем не менее по оценкам многих компаний-интеграторов информационной безопасности не уделяется должное внимание даже в крупных проектах: доля рынка ничтожно мала и не превышает сегодня 3%. Принадлежит она сегодня специализированным компаниям, поставляющим собственные решения для безопасности, как правило, в своем собственном сегменте, – антивирусные пакеты, брандмауэры, программно-аппаратные средства защиты, смарт-карты и т.д., а иногда объединяющим все эти средства в некий "джентльменский" набор средств безопасности.

Подавляющая часть этих программных продуктов работает в среде Windows компании Microsoft – по понятным причинам эта система получила наибольшее распространение в России, хотя заслуга тут не столько Microsoft, сколько пиратства. Столь огромная популярность породила другую проблему – система частенько подвергается атакам со стороны вирусописателей и спамеров. Эпидемии случаются довольно часто. Не так редки случаи, когда вирус через Web-браузер или почтовый клиент проникал в систему и самопроизвольно запускался, нарушая работу системных сервисов.

Обновление операционных систем с закрытым кодом (к которым относится Windows) осложняется тем, что, как правило, компании-разработчики не спешат с выпуском "апдейтов" и сервис-паков; конечно, они появляются регулярно, но далеко не всегда системные администраторы и сотрудники служб информационной безопасности знают о них. Эти работы – обновление антивирусных баз, загрузка и установка обновлений, настройка межсетевых экранов, антиспамеров – входят в постоянные расходы компании на безопасность.

В последние годы произошел некий перекос в сторону продуктов с открытыми кодами, что, пожалуй, тоже не совсем правильно. Создавать наиболее критичные с точки зрения безопасности службы (такие, как корпоративная почта, файловые хранилища) на базе Open Source-продуктов следует весьма осторожно. Хотя исходный код, который непременно в них включается, позволяет реализовывать гибкие системы и вовремя изменять их функции, мнения экспертов в отношении открытых продуктов в целом и о Linux в частности прямо-таки противоположные. Плюсом является огромная скорость обновления и латания дыр, к минусам – то, что комплексных проверок надежности кода никто в общем-то не проводил. Процедура эта весьма долгая, кропотливая и дорогая. В ней легко допустить ошибку и в результате сделать систему безопасности уязвимой. Кроме того, исходный код исследуется не только на предмет надежности, но и для поиска дыр. Кстати, именно этой точки зрения придерживается компания Microsoft. Недаром же реакция редмондской корпорации на недавнюю утечку части исходных кодов операционной системы Windows 2000 была негативной: ее официальные лица предупредили весь компьютерный мир о том, что следует ждать более хитроумных вирусов, троянцев и червей.

Если на некоторое время отвлечься от противостояния между сторонниками Windows и Linux, то реальная безопасность зависит от того, как настроены соответствующие компоненты и насколько опытны специалисты, занимающиеся обслуживанием и развитием информационной безопасности компании. Иными словами, человек является, с одной стороны, источником уязвимостей, а с другой – он же защищает корпоративные системы и сети от взломов и атак. Решения на базе открытых кодов требуют большей квалификации от ИТ-сотрудников, больших затрат и достаточно высокой "стоимости владения". Open Source-системы (кстати, они далеко не всегда связаны с миром Linux, открытый код прижился и в мире Windows) не преподаются на специализированных курсах и, как правило, не сертифицируются, а доказывать собственные знания здесь можно лишь на практике, методом проб и ошибок.

При работе с Open Source-продуктами специалисты придерживаются довольно простого принципа: ставить только проверенные компоненты. Небезынтересная особенность этой категории программ заключается в том, что одновременно существуют по меньшей мере две версии: устойчивая предпоследняя, в которой исправлены все ошибки, и более новая, с еще не до конца отлаженным кодом. Одни не любят рисковать и, предпочитая не самую новую версию, возможно, теряют в функциональности программы, другие, напротив, рискуют, берут все самое новое и получают положенные доли и опыта, и головной боли. К слову, именно такой подход применяется на крупнейшем ресурсе www.sourceforge.net, который объединяет сотни тысяч Open Source-систем, а также предоставляет гибкие средства для сопровождения любых программ (от крохотных утилит в...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2013 Computer Crime Research Center

CCRC logo
Cyber Safety Unit – проект посвященный проблемам киберпреступности