Соединение десинхронизируется на стадии его установки.
Крэкер прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии.
Дождавшись пакета S-SYN от сервера, крэкер высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента.
Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет.
Клиент игнорирует S-SYN-пакет, однако крэкер, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента.
Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована.
Представим это в виде схемы:
Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные крэкером. Для корректной обработки этих ситуаций программа должна быть усложнена.
Симметричная (секретная) методология
В этой методологии и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия. Если ключ не был скомпрометирован, то при расшифровке автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Так как отправитель и получатель - единственные люди, которые знают этот симметричный ключ, при компрометации ключа будет скомпрометировано только взаимодействие этих двух пользователей. Проблемой, которая будет актуальна и для других криптосистем, является вопрос о том, как безопасно распространять симметричные (секретные) ключи.
Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных.
Порядок использования систем с симметричными ключами:
Безопасно создается, распространяется и сохраняется симметричный секретный ключ.
Отправитель создает электронную подпись с помощью расчета хэш-функции для текста и присоединения полученной строки к тексту
Отправитель использует быстрый симметричный алгоритм шифрования-расшифровки вместе с секретным симметричным ключом к полученному пакету (тексту вместе с присоединенной электронной подписью) для получения зашифрованного текста. Неявно таким образом производится аутентификация, так как только отправитель знает симметричный секретный ключ и может зашифровать этот пакет. Только получатель знает симметричный секретный ключ и может расшифровать этот пакет.
Отправитель передает зашифрованный текст. Симметричный секретный ключ никогда не передается по незащищенным каналам связи.
Получатель использует тот же самый симметричный алгоритм шифрования-расшифровки вместе с тем же самым симметричным ключом (который уже есть у получателя) к зашифрованному тексту для восстановления исходного текста и электронной подписи. Его успешное восстановление аутентифицирует кого-то, кто знает секретный ключ.
Получатель отделяет электронную подпись от текста.
Получатель создает другую электронную подпись с помощью расчета хэш-функции для полученного текста.
Получатель сравнивает две этих электронных подписи для проверки целостности сообщения (отсутствия его искажения)
Доступными сегодня средствами, в которых используется симметричная методология, являются:
Kerberos, который был разработан для аутентификации доступа к ресурсам в сети, а не для верификации данных. Он использует центральную базу данных, в которой хранятся копии секретных ключей всех пользователей.
Сети банкоматов (ATM Banking Networks). Эти системы являются оригинальными разработками владеющих ими банков и не продаются. В них также используются симметричные методологии.
Взлом копированием и эмулированием
Побитовое копирование
Суть атаки заключается в том, что пользователь (не всегда злоумышленник) пытается скопировать имеющийся у него диск с целью создания копии (для личного использования или для тиража). Для осуществления подобной атаки могут использоваться различные программы, зачастую входящие в поставку устройств CD-R/RW. Это и официальный Easy CD Creator, и полуофициальные (полухакерские) CloneCD и BlindRead… Защита должна уметь противодействовать данному виду взлома, так как с него обычно и начинается взлом, поскольку копировщиков способных скопировать диски с примитивной защитой великое множество. Способы обороны: существуют два способа противодействия взлому. Первый заключается в том, что на диск записывается определенная метка, которая не копируется обычными средствами (например, создается нестабильный сегмент, который не читается носителем, а раз не читается, то и скопированным быть также не может). К сожалению, данный способ не всегда устойчив, поскольку уже есть программы "продвинутого" копирования (те же CloneCD и BlindRead), которые способны пропускать подобные места (замещать нестабильные области произвольными данными) и проводить копирование до конца. Второй способ основывается на том, что ничего никуда записывать не надо, а надо лишь определенным образом запоминать физические характеристики диска, которые просто невозможно воспроизвести любым копированием, точнее диск сам по себе копируется, но уже с другой физической структурой. Соответственно, пользователь может спокойно клонировать диски, но ключевым будет тот, который был официально куплен. Эмулирование
Данный подход позволяет формировать виртуальные драйверы устройств и имитировать обращение к диску. Это уже чистой воды взлом, поскольку для нормальной работы вскрытого приложения в систему инсталлируется специальный драйвер, который имитирует обращение к не копируемой метке на диске и возвращает вскрытой программе именно те данные, которые она ожидает "увидеть". Подобный способ довольно часто применяется на первых порах, когда хакеру известен способ получения некопируемой метки на диске, но ему не очень хочется разбираться с программой методом дизассемблирования. Противодействием может служить работа с устройствами записи\чтения на низком уровне, когда невозможно перехватить вызовы к оборудованию. Здесь нужно еще внести одно пояснение: для того, чтобы защищенному приложению обратиться к CD, и проверить его на наличие не копируемой метки, необходимо воспользоваться одной из функций чтения\записи, которые предоставляет сама Windows. Хакерами уже наработан ряд механизмов, позволяющих перехватывать стандартные обращения к функциям Windows, а раз можно перехватить сообщение, значит целиком можно имитировать чтение, целиком заменяя стандартные вызовы на собственные. Как говорилось выше, противодействием данному способу взлома может быть только обращение к накопителю не через стандартные вызовы.
Асимметричная (открытая) методология
В этой методологии ключи для шифрования и расшифровки разные, хотя и создаются вместе. Один ключ делается известным всем, а другой держится в тайне. Хотя можно шифровать и расшифровывать обоими ключами, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.
Все асимметричные криптосистемы являются объектом атак путем прямого перебора ключей, и поэтому в них должны использоваться гораздо более длинные ключи, чем те, которые используются в симметричных криптосистемах, для обеспечения эквивалентного уровня защиты. Это сразу же сказывается на вычислительных ресурсах, требуемых для шифрования, хотя алгоритмы шифрования на эллиптических кривых могут смягчить эту проблему. Брюс Шнейер в книге "Прикладная криптография: протоколы, алгоритмы и исходный текст на C" приводит следующие данные об эквивалентных длинах ключей.
Длина симметричного ключа
Длина открытого ключа
56 бит
384 бит
64 бита
512 бит
80 бит
768 бит
112 бит
1792 бита
128 бит
2304 бита
Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, генерируется временный симметричный ключ для каждого сообщения и только он шифруется асимметричными алгоритмами. Само сообщение шифруется с использованием этого временного сеансового ключа и алгоритма шифрования/расшифровки, описанного в пункте 2.1.1.1. Затем этот сеансовый ключ шифруется с помощью открытого асимметричного ключа получателя и асимметричного алгоритма шифрования. После этого этот зашифрованный сеансовый ключ вместе с зашифрованным сообщением передается получателю. Получатель использует тот же самый асимметричный алгоритм шифрования и свой секретный ключ для расшифровки сеансового ключа, а полученный сеансовый ключ используется для расшифровки самого сообщения.
В асимметричных криптосистемах важно, чтобы сеансовые и асимметричные ключи были сопоставимы в отношении уровня безопасности, который они обеспечивают. Если используется короткий сеансовый ключ ( например, 40-битовый DES), то не имеет значения, насколько велики асимметричные ключи. Хакеры будут атаковать не их, а сеансовые ключи. Асимметричные открытые ключи уязвимы к атакам прямым перебором отчасти из-за того, что их тяжело заменить. Если атакующий узнает секретный асимметричный ключ, то будет скомпрометирован не только текущее, но и все последующие взаимодействия между отправителем и получателем.
Порядок использования систем с асимметричными ключами:
Безопасно создаются и распространяются асимметричные открытые и секретные ключи (см. раздел 2.2 ниже). Секретный асимметричный ключ передается его владельцу. Открытый асимметричный ключ хранится в базе данных X.500 и администрируется центром выдачи сертификатов (по-английски - Certification Authority или CA). Подразумевается, что пользователи должны верить, что в такой системе производится безопасное создание, распределение и администрирование ключами. Более того, если создатель ключей и лицо или система, администрирующие их, не одно и то же, то конечный пользователь должен верить, что создатель ключей на самом деле уничтожил их копию.
Создается электронная подпись текста с помощью вычисления его хэш-функции. Полученное значение шифруется с использованием асимметричного секретного ключа отправителя, а затем полученная строка символов добавляется к передаваемому тексту (только отправитель может создать электронную подпись).
Создается секретный симметричный ключ, который будет использоваться для шифрования только этого сообщения или сеанса взаимодействия (сеансовый ключ), затем при помощи симметричного алгоритма шифрования/расшифровки и этого ключа шифруется исходный текст вместе с добавленной к нему электронной подписью - получается зашифрованный текст (шифр-текст).
Теперь нужно решить проблему с передачей сеансового ключа получателю сообщения.
Отправитель должен иметь асимметричный открытый ключ центра выдачи сертификатов (CA). Перехват незашифрованных запросов на получение этого открытого ключа является распространенной формой атаки. Может существовать целая система сертификатов, подтверждающих подлинность открытого ключа CA. Стандарт X.509 описывает ряд методов для получения пользователями открытых ключей CA, но ни один из них не может полностью защитить от подмены открытого ключа CA, что наглядно доказывает, что нет такой системы, в которой можно было бы гарантировать подлинность открытого ключа CA.
Отправитель запрашивает у CA асимметричный открытый ключ получателя сообщения. Этот процесс уязвим к атаке, в ходе которой атакующий вмешивается во взаимодействие между отправителем и получателем и может модифицировать трафик, передаваемый между ними. Поэтому открытый асимметричный ключ получателя "подписывается" CA. Это означает, что CA использовал свой асимметричный секретный ключ для шифрования асимметричного отркытого ключа получателя. Только CA знает асимметричный секретный ключ CA, поэтому есть гарантии того, что открытый асимметричный ключ получателя получен именно от CA.
После получения асимметричный открытый ключ получателя расшифровывается с помощью асимметричного открытого ключа CA и алгоритма асимметричного шифрования/расшифровки. Естественно, предполагается, что CA не был скомпрометирован. Если же он оказывается скомпрометированным, то это выводит из строя всю сеть его пользователей. Поэтому можно и самому зашифровать открытые ключи других пользователей, но где уверенность в том, что они не скомпрометированы?
Теперь шифруется сеансовый ключ с использованием асимметричного алгоритма шифрования-расшифровки и асимметричного ключа получателя (полученного от CA и расшифрованного).
Зашифрованный сеансовый ключ присоединяется к зашифрованному тексту (который включает в себя также добавленную ранее электронную подпись).
Весь полученный пакет данных (зашифрованный текст, в который входит помимо исходного текста его электронная подпись, и зашифрованный сеансовый ключ) передается получателю. Так как зашифрованный сеансовый ключ передается по незащищенной сети, он является очевидным объектом различных атак.
Получатель выделяет зашифрованный сеансовый ключ из полученного пакета.
Теперь получателю нужно решить проблему с расшифровкой сеансового ключа.
Получатель должен иметь асимметричный открытый ключ центра выдачи сертификатов (CA).
Используя свой секретный асимметричный ключ и тот же самый асимметричный алгоритм шифрования получатель расшифровывает сеансовый ключ.
Получатель применяет тот же самый симметричный алгоритм шифрования-расшифровки и расшифрованный симметричный (сеансовый) ключ к зашифрованному тексту и получает исходный текст вместе с электронной подписью.
Получатель отделяет электронную подпись от исходного текста.
Получатель запрашивает у CA асимметричный открытый ключ отправителя.
Как только этот ключ получен, получатель расшифровывает его с помощью открытого ключа CA и соответствующего асимметричного алгоритма шифрования-расшифровки.
Затем расшифровывается хэш-функция текста с использованием открытого ключа отправителя и асимметричного алгоритма шифрования-расшифровки.
Повторно вычисляется хэш-функция полученного исходного текста.
Две эти хэш-функции сравниваются для проверки того, что текст не был изменен.
Десинхронизация нулевыми данными
В данном случае крэкер прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние.
Взлом программного модуля
Это следующий уровень взлома. В том случае если не удалось скопировать приложение, а способ его защиты также неизвестен, то хакер переходит на следующий уровень взлома - на исследование логики самой программы, с той целью, чтобы, проанализировав весь код приложения, выделить блок защиты и деактивировать его. Взлом программ осуществляется двумя основными способами. Это отладка и дизассемблирование. Отладка - это специальный режим, создаваемый специальным приложением - отладчиком, который позволяет по шагам исполнять любое приложение, передавая ему всю среду и делая все так, как будто приложение работает только с системой, а сам отладчик невидим. Механизмами отладки пользуются все, а не только хакеры, поскольку это единственный способ для разработчика узнать, почему его детище работает неправильно. Естественно, что любую благую идею можно использовать и во зло. Чем и пользуются хакеры, анализируя код приложения в поиске модуля защиты. Это так называемый, пошаговый режим исполнения, или, иными словами интерактивный. А есть еще и второй - дизассемблирование - это способ преобразования исполняемых модулей в язык программирования, понятный человеку - Ассемблер. В этом случае хакер получает распечатку того, что делает приложение. Правда распечатка может быть очень и очень длинной, но никто и не говорил, что защиты снимать легко. Хакеры активно пользуются обоими механизмами взлома, поскольку иногда приложение проще пройти по шагам, а иногда проще получить листинг и проанализировать его. Давайте теперь рассмотрим основные методы взлома и противодействия ему Отладчики
Отладчиков существует великое множество: от отладчиков, являющихся частью среды разработки, до сторонних эмулирующих отладчиков, которые полностью "погружают" отлаживаемое приложение в аналитическую среду, давая разработчику (или хакеру) полную статистику о том что и как делает приложение. С другой же стороны, подобный отладчик настолько четко имитирует среду, что приложение, исполняясь под ним, считает, что работает с системой напрямую (типичный пример подобного отладчика - SoftIce).
Противодействие
Способов противодействия существует великое множество. Это именно способы противодействия поскольку основная их задача сделать работу отладчика либо совсем невозможной, либо максимально трудоемкой. Опишем основные способы противодействия:
Замусоривание кода программы. Способ, при котором в программу вносятся специальные функции и вызовы, которые выполняют сложные действия, обращаются к накопителям, но по факту ничего не делают. Типичный способ обмана. Хакера нужно отвлечь, создав ответвление, которое и будет привлекать внимание сложными вызовами и содержать в себе сложные и большие вычисления. Хакер рано или поздно поймет, что его обманывают, но время будет потеряно.
Использование мультипоточности. Тоже эффективный способ защиты, использующий возможности Windows по параллельному исполнению функций. Любое приложение может идти как линейно, то есть инструкция за инструкцией, и легко читаться отладчиком, а может разбивать на несколько потоков, исполняемых одновременно, естественно, в этом случае, нет никакого разговора о линейности кода, а раз нет линейности, то анализ здесь трудноосуществим. Как правило, создание 5-6 и более потоков существенно усложняет жизнь хакеру. А если потоки еще и шифруются, то хакер надолго завязнет, пытаясь вскрыть приложение.
Подавление изменения операционной среды - программа сама несколько раз перенастраивает среду окружения, либо вообще отказывается работать в измененной среде. Не все отладчики способны на 100% имитировать среду системы, и если "подопытное" приложение будет менять настройки среды, то рано или поздно "неправильный" отладчик может дать сбой
Противодействие постановке контрольных точек. Специальный механизм, поддерживаемы микропроцессором, при помощи которого, можно исследовать не всь программу, начиная с начал, а, например, только начиная с середины. Для этого в середине программы ставят специальный вызов (точка вызова - BreakPoint), который передает управление отладчику. Недостаток способа кроется в том, что для осуществления прерывания в код исследуемого приложения надо внести изменение. А если приложение время от времени проверяет себя на наличие контрольных точек, то сделать подобное будет весьма и весьма непросто.
Изменений определенных регистров процессора, на которые отладчики неадекватно реагируют. Также как и со средой. Отладчик тоже программа и тоже пользуется и операционной системой и процессором, который один на всех. Так если менять определенные регистры микропроцессора, которые отладчик не может эмулировать, то можно существенно "подорвать" его здоровье.
Дизассемблеры и дамперы
Про дизассемблер сказано было выше, а вот про дампер можно добавить то, что это практически тот же дизассемблер, только транслирует он не файл, находящийся на диске в Ассемблерный код, а содержимое оперативной памяти на тот момент, когда приложение начало нормально исполняться (то есть, пройдены все защиты). Это один из коварных средств взлома, при котором хакеру не надо бороться с механизмами противодействующими отладке, он лишь ждет, когда приложение закончит все проверки на легальность запуска, проверяя метки на диске, и начинает нормальную работу. В этот момент дампер и снимает "чистенький" код без примесей. К всеобщей радости не все защиты могут просто так себя раскрыть! И об этом ниже:
Шифрование. Самый простой и эффективный способ противодействия. Подразумевает, что определенная часть кода никогда не появляется в свободном виде. Код дешифруется только перед передачей ему управления. То есть вся программа или ее часть находится в зашифрованном виде, а расшифровывается только перед тем как исполниться. Соответственно, чтобы проанализировать ее код надо воспользоваться отладчиком, а его работу можно очень и очень осложнить (см. выше)!
Шифрование и дешифрование (динамическое изменение кода). Более продвинутый способ шифрования, который не просто дешифрует часть кода при исполнении, но и шифрует его обратно, как только он был исполнен. При такой защите хакеру придется проводить все время с отладчиком, и взлом защиты затянется на очень и очень долгое время.
Использование виртуальных машин. Еще одна модернизация шифрования. Способ заключается в том, чтобы не просто шифровать и дешифровать целые фрагменты кода целиком, а делать это покомандно, подобно тому, как действет отладчик или виртуальная машина: взять код, преобразовать в машинный и передать на исполнение, и так пока весь модуль не будет исполнен. Этот способ гораздо эффективнее предыдущих, так как функции приложения вообще никогда не бывают открытыми для хакера. Естественно, что его трудно реализовать, но реализовав, можно оградить себя от посягательств любых хакеров. Но в этом способе кроется недостаток - производительность, ведь на подобное транслирование требуется много времени, и, соответственно, способ хорош для защиты только для критических участков кода.
А бывает ли это на самом деле?
"Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни". По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек. Другой пример подробно описан на странице и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.).
Abstract
В статье рассматривается безопасность семейства IP-протоколов. Описываются возможные типа атак, представлено несколько вариантов решения проблем.
ACK-буря
Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ... И так до бесконечности. К счастью (или к сожалению?) современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше.
Адаптивное управление защитой
Алексей ЛУКАЦКИЙ НИП "Информзащита", СЕТИ #10/99 Современные сетевые технологии уже трудно представить без механизмов защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам инфраструктура защиты, может ли администратор безопасности своевременно узнать о начале таких атак? Информация об уязвимости аппаратных и программных средств постоянно публикуется в различных списках рассылки по проблемам безопасности (например, Bugtraq), и сетевым администраторам следует внимательно следить за этими «черными» списками. Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям. Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника. При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты. Компания Yankee Group опубликовала в июне 1998 г. отчет, содержащий описание процесса обеспечения адаптивной безопасности сети. Этот процесс должен включать в себя анализ защищенности (security assessment), т. е. поиск уязвимостей (vulnerabilities assessment), обнаружение атак (intrusion detection), а также использовать адаптивный (настраиваемый) компонент, который расширяет возможности двух первых функций, и управляющий компонент. Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:
«люки» в системах (back door) и программы типа «троянский конь»;
слабые пароли;
восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»;
отсутствие необходимых обновлений (patch, hotfix) операционных систем;
неправильная настройка межсетевых экранов, Web-серверов и баз данных.
Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.
Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.
Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.
К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.
Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети RealSecure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.
В настоящее время комплект ПО SAFEsuite поставляется в новой версии — SAFEsuite Enterprise, в которую входит также ПО SAFEsuite Decisions, обеспечивающее принятие решений по проблемам безопасности. Остановимся на компонентах SAFEsuite Enterprise более подробно.
Администратор - бог и царь
В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне. В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам. Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.
Администрирование и мониторинг
Средства управления входом в систему во всех протестированных продуктах оказались явно не на высоте, однако в других областях управления дела обстоят лучше. Более чем у половины продуктов имеется возможность в случае каких-либо неполадок послать сообщение на пейджер или отправить его по электронной почте. Наилучшим образом управление и мониторинг организованы в продуктах компаний Altiga и Lucent. В VPN Concentrator Series (Altiga) каждая "мелочь" в работе сервера туннелирования отражается на экране модуля управления. Можно даже проконтролировать число оборотов вентиляторов в сдвоенных источниках питания, если это кого-то заинтересует. Возможности продукта Security Management Server (Lucent) еще шире. Например, в нем реализованы два уровня управления: он позволяет задать, кто должен получать данные мониторинга и кто может изменять установки. Кроме того, Lucent включила в свой продукт мини-анализатор протокола - очень симпатичная функция. Нам понравились также системы с ограниченным числом функций управления, запускаемых из командной строки. Это продукты компаний TimeStep, Intel, RadGuard и VPNet. Конечно, вряд ли вы захотите строить виртуальную частную сеть для предприятия, вводя команды из командной строки, но подключиться к VPN-серверу, используя эмулятор терминала, чтобы изменить один параметр или проверить совместимость работы аппаратуры разных производителей, - весьма привлекательная возможность. Администраторы сети, которые хотели бы управлять VPN, руководствуясь формулой "настрой и забудь", могут удовлетвориться ограниченными средствами управления продуктов компаний Red Creek и Intel. Хотя они и позволяют увидеть, что происходит в сети, но процесс воплощения этих возможностей весьма тягостный. В VTCP/Secure фирмы InfoExpress функции управления еще менее дружественны по отношению к пользователю: это единственный VPN-продукт, в котором конфигурирование производится с помощью меню в ASCII-кодах в сеансе MS-DOS. Если нужно посмотреть, кто зарегистрировался, необходимо запустить генерацию отчета, а единственный способ "вышвырнуть" пользователя, который "плохо себя ведет", - это перезапустить VPN-сервер целиком. Довольно удивительно, но все протестированные нами продукты работали почти в полном соответствии с тем, что производители заявляли о них в рекламе, хотя некоторые несоответствия обнаружились в наших тестах на время задержки и пропускную способность. В основном наибольшая нестабильность наблюдалась в случае длительной работы клиентов, независимо от того, были они подключены к VPN или нет. Получить повторяемые отклонения от нормы для таких измерений достаточно сложно. У некоторых продуктов отказ возникал, если время жизни туннеля было слишком большое (более 24 часов), хотя все, с кем мы обсуждали эту проблему, уверяли нас, что система будет работать нормально после внесения следующей серии исправлений или замены ОС, параметров защиты, времени работы ключей. Если вы действительно планируете работать с "долгоживущими" туннелями, прежде чем приобретать систему, протестируйте их работу в своей среде со своими параметрами безопасности. Гораздо хуже обстоит дело со стабильностью работы консолей управления. Например, в RiverWorks графический интерфейс пользователя несколько раз "рушился". А в VPNWare время от времени не работали Java-средства и программу приходилось перезапускать. В некоторых случаях причина появления проблем коренилась в неудачном проектировании продукта. Так, архитектура VTCP/Secure не обеспечивала поддержку всех IP-протоколов, что может вызвать ошибки несовместимости при работе с определенными приложениями. Из-за объединения в Security Management Server (Lucent) функций VPN с брандмауэром возникали проблемы подключения к нашему FTP-серверу. * * * Продукты, которые мы протестировали, очень разные. Чтобы выбрать нужный, следует учесть размер вашей виртуальной частной сети, способ подключения к Internet и многие другие, более сложные, вопросы. Продукты серии Ravlin (RedCreek) превосходят все прочие по простоте инсталляции и работы. Тем не менее Ravlin доставит вам массу хлопот, если число виртуальных пользователей будет измеряться тысячами. Для cети со средним количеством пользователей отличным решением будет VPN Concentrator Series фирмы Altiga. У него и цена неплохая, и интерфейс управления понятный: настройка и работа с ним не вызвала затруднений. Продукты компаний Lucent и Check Point по этим позициям также получили хорошие баллы, однако интерфейсы управления у них на порядок сложнее, чем у VPN Concentrator Series, причем от этого их функциональность не возросла во столько же раз. Если необходимо развернуть очень большую виртуальную сеть, внимательно присмотритесь к предложениям компаний Indus River и TimeStep - продуктам RiverWorks и Permit Enterprise соответственно. В этих компаниях хорошо представляют себе, как организовать виртуальную сеть для 10 тыс. и более клиентов. Хотя в обоих продуктах средства создания отчетов не лишены недостатков, высокие показатели по другим позициям дают им явное преимущество перед остальными. Можно также воспользоваться предложениями компаний Lucent, VPNet и Intel, сильной стороной которых является удачная архитектура. Однако такое деление на продукты для малых, средних и больших систем не должно влиять на выбор, если какой-то "претендент" лучше других соответствует вашим требованиям.
Администрирование
Легкость администрирования является одним из ключевых аспектов в создании
эффективной и надежной системы защиты. Ошибки при определении правил доступа могут
образовать дыру, через которую может быть взломана система. Поэтому в большинстве
брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора
правил. Наличие этих утилит позволяет также производить проверки на синтаксические или
логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют
просматривать информацию, сгруппированную по каким либо критериям - например, все что
относится к конкретному пользователю или сервису.
Активные атаки на уровне TCP
При данном типе атак крэкер взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соотвествующий инструментарий. К сожалению, сейчас такие программы стали доступны широким массам пользователей (например, см. раздел про SYN-затопление). Активные атаки можно разделить на две части. В первом случае крэкер предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести систему-жертву в нерабочее состоянии. Обладая достаточными привилегиями в Unix (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), крэкер может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса не совпадающим с текущим IP-адресом, крэкер никогда не получит ответ на отосланный пакет. Однако, как мы увидим, часто это и не требуется. Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.
Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы. Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS. Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".
Алгоритм обмена ключами
Как отмечено выше, алгоритм обмена ключами KEA разработан специалистамиАНБ и используется для организации распределения ключей шифрования MEKпри информационном обмене и для рассылки секретных ключей пользователям.Основным достоинством KEA является тот факт, что обе стороны могут вычислитьодин и тот же TEK самостоятельно, используя два случайных числа (A и B),собственные параметры P, Q, G и открытый ключ абонента. Когда KEA используетсяпри информационном обмене, принимающая сторона может получить все значения,необходимые для расшифрования сообщения, вместе с принятым сообщением. Рис. 3. Основные функции алгоритма KEA показаны на Рис.3. Заметим, что в данномалгоритме значения P, Q и G, используемые Алисой для первоначальной генерацииTEK, а Бобом для генерации TEK при получении сообщения, не передаются поканалам связи и одинаковы для всех пользователей. Алгоритм обмена ключами KEA применим как в приложениях типа электроннойпочты, так и при информационном обмене между абонентами, логически и/илифизически соединенными между собой в режиме реального времени. Необходимо заметить, что одно и то же сообщение, адресованное разнымабонентам, зашифровывается с использованием одного ключа MEK, однако этотключ должен быть свернут с помощью различных TEK, соответствующих получателямданного сообщения. Приложение - адресат должно просмотреть сообщение инайти TEK, предназначенный для данного пользователя, развернуть MEK и расшифроватьполученное сообщение.
Алгоритмы шифрования
Алгоритмы шифрования с использованием ключей предполагают, что данные не сможет прочитать никто, кто не обладает ключом для их расшифровки. Они могут быть разделены на два класса, в зависимости от того, какая методология криптосистем напрямую поддерживается ими.
Анализ рынка средств защиты программного обеспечения от несанкционированного копирования.
"…Использование программ для ЭВМ или базы данных третьими лицами
(пользователями) осуществляется на основании договора с правообладателем…"
-фрагмент закона об интеллектуальной собственности
Анатомия атаки
Рассмотрим этапы осуществления атаки (рис.2.). Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т.е. ко второму этапу. На третьем этапе завершается атака, "заметаются" следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, nmap или SATAN считается атакой.
Рис.2. Этапы осуществления атаки
Существующие механизмы защиты, реализованные в межсетевых экранах (firewall), серверах аутентификации, системах разграничения доступа и т.д. работают только на втором этапе. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от "успешной" атаки, а также разработать меры по устранению дальнейших попыток реализовать аналогичную атаку. Однако даже если вы наряду с традиционными механизмами защиты используете средства поиска уязвимостей, которые своевременно обнаруживают и рекомендуют меры по устранению "слабых мест" в системе защиты, то это еще не доказывает вашей защищенности. Существуют ряд факторов, которые необходимо учитывать при использовании межсетевых экранов, систем аутентификации, систем разграничения доступа и т.д. Эти факторы характеризуют не слабости этих технологий, а особенности их архитектуры. Большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры. Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил системе защиты, то она воспринимает его, как "своего" и разрешает действовать в рамках того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов (sniffer). Его можно подобрать при помощи специальных программ, например, при помощи L0phtCrack или Crack. И так далее. А дальше даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем. Другой не менее распространенный пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Именно поэтому наряду с "традиционными" средствами защиты (межсетевыми экранами и т.д.) необходимо применять т.н. "адаптивные" средства (системы обнаружения атак и анализа защищенности).
АННОТАЦИЯ
Эта книга предназначена прежде всего для тех, кто интересуется не только теоретическими аспектами криптологии, но и практическими реализациями алгоритмов криптографии и криптоанализа. В книге уделено очень много внимания вопросам компьютерного криптоанализа и логике программирования защищенных криптосистем. Книга изложена таким образом, что она будет полезной как для неподготовленного читателя, так и для высококвалифицированного специалиста, желающего расширить свой кругозор и по-новому взглянуть на криптографический аспект систем информационной защиты. Речь в книге не идет о каких-то конкретных программных продуктах, наоборот - прочтя книгу, подготовленный читатель будет способен самостоятельно создавать программное обеспечение, содержащее криптографические алгоритмы. Кроме стандартных и популярных средств одноключевого шифрования, в книге рассматриваются нестандартные алгоритмы, которые могут использоваться на практике, оригинальные и необычные подходы к шифрованию и криптоанализу, что может значительно расширить кругозор даже опытного специалиста. Тем, кто интересуется созданием собственных шифросистем, будет также интересна и полезна многочисленные исторические справки о создании блочных систем шифрования. Таким образом, эта книга будет чрезвычайно полезной для студентов вузов, как соответствующих специальностей, так и просто интересующихся компьютерными технологиями, а также для специалистов в области обеспечения информационной безопасности и разработки соответствующих программных средств. Книга носит практический характер и наряду со множеством описаний шифров содержит исходные тексты программ, их реализующих. Книга может быть полезна в качестве справочника либо учебного пособия.
Аппаратная расширяемость
Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.
Апрель
В начале апреля 19-летнему
Christopher Schanot, известному в компьютерном подполье Сент-Луиса
под псевдонимом "N00gz", в Филадельфии было предъявлено
обвинение в компьютерном мошенничестве. Старшекласснику-отличнику
инкриминировался несанкционированный доступ ко многим корпоративным
и правительственным компьютерам, Его жертвами стали такие компании,
как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал
себя виновным по двум пунктам обвинения в компьютерном мошенничестве
и одном пункте обвинения в незаконном прослушивании. Ему грозит
до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило
агентство AP 15 ноября, приговор должен быть вынесен 31 января
1997 года.
В телеконференциях (см.
) появились разоблачения, касающиеся сотрудников Управления
социального страхования США. Эти сотрудники злоупотребили своими
правами на доступ к компьютерам Управления и продали детальную
персональную информацию о более чем 11 тысячах жертвах членам
шайки, занимающейся махинациями с кредитными картами. (Еще один
урок по поводу важности человеческого фактора в информационной
безопасности.)
Агентство Associated Press
19 апреля сообщило о проникновении хакеров в систему голосовой
почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие
на следующий текст: "Вы попали в полицейский департамент
Нью-Йорка. В случае реальной опасности позвоните по телефону 119.
Для всех остальных дел как раз сейчас мы немного заняты - пьем
кофе с пирожными". Далее следовало: "Вы можете не вешать
трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,
что имеется в виду. Спасибо". Поддельные сообщения звучали
в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил
краткое изложение новостийной статьи о важном повороте в битве
против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года
районный судья Marilyn Hall Patel вынесла постановление, согласно
которому математик Daniel Bernstein может попробовать доказать,
что сфера действия принятых в США правил контроля за экспортом
криптографических технологий слишком широка и затрагивает его
права на общение с другими учеными и компьютерной общественностью
- права, защищаемые свободой печати. (Криптографические программы,
которые разработал Bernstein, называются Snuffle и Unsnuffle.
Государственный департамент США в 1993 году принял решение о том,
что на статью и программы, написанные математиком, необходимо
получить экспортную лицензию, поскольку согласно действующему
в США законодательству поставщик криптосредств приравнивается
к международному торговцу оружием. Позднее ограничения на экспорт
статьи были сняты. После этого Bernstein возбудил судебное дело,
требуя снять ограничения со своих программ.)"
В декабре судья Patel
нанесла решающий удар по запрету, назвав его "примером бессистемного
произвола", неспособного обеспечить право граждан на свободу
слова (UPI, 19 декабря; ).
Согласно сообщению в "San
Francisco Chronicle" от 20 апреля (Peter Neumann изложил
его в ), личный секретарь вице-президента корпорации
Oracle получила отказ в иске по поводу незаконности ее увольнения.
Женщина утверждала, что ее уволили после того, как она отказалась
вступить в связь с президентом компании. В качестве доказательства
она привела фрагмент электронного письма, якобы отправленного
ее боссом президенту. В письме босс подтверждал, что выполнил
просьбу президента и уволил секретаршу. Однако, как показало следствие,
в то время, когда было отправлено письмо, босс на самом деле находился
за рулем автомобиля (во всяком случае, об этом свидетельствуют
протоколы переговоров по сотовой связи). Истица знала пароли своего
начальника (он имел обыкновение просить ее о смене пароля). Местный
прокурор пришел к заключению, что электронное письмо было сфабриковано
секретаршей и обвинил ее в лжесвидетельстве.
Весьма интересны выводы,
к которым пришел Peter Neumann:
Не следует верить,
что заголовок FROM: электронного письма соответствует реальному
отправителю.
Не следует доверять
содержанию электронного сообщения вне зависимости от корректности
его заголовков.
Не следует разделять
свой пароль с кем бы то ни было или делать кого-либо другого ответственным
паролей используйте одноразовые средства аутентификации.
Даже если Вы используете
PEM, PGP или иные средства криптографической защиты электронной
почты, Вы не можете быть уверены в аутентичности сообщений из-за
потенциальной ненадежности операционных систем и пользователей.
Остерегайтесь использовать
сообщения электронной почты в качестве судебных доказательств.
Однако, не следует
думать, что протоколы сотовой связи являются безупречными судебными
доказательствами; они также могут быть сфабрикованы или изменены.
Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,
кто в состоянии продемонстрировать, насколько легко изменить эти
протоколы.
К этому Mike Marler
<> добавляет (см. ):
Не следует думать,
что некто не может запустить на своем компьютере пакетное задание
или фоновый процесс, которые отправят электронное сообщение другому
лицу (с подделкой заголовков или без таковой), в то время как
автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.
Не следует думать,
что некто не может располагать автоматизированной системой ответов
на письма, которая пошлет ответ на "фрагмент электронного
письма", начинающийся примерно так: "К сожалению, я
не могу направить развернутый ответ на Ваш 'фрагмент электронного
письма', поскольку до конца дня я буду очень занят на собраниях".
В это время упомянутый некто может просто бездельничать или продолжать
ловить рыбу у берегов Коста-Рики.
J.R.Valverde (младший)
<> еще добавил:
Никогда не беритесь
за обслуживание счета другого пользователя, не получайте доступ
к чужому компьютеру.
Причуды America Online
развеселили Интернет и особенно жителей небольшого городка на
востоке Англии с названием Scunthorpe, когда житель этого городка
Doug Blackie попытался зарегистрировать свой новый счет. Если
верить статье в "Computer underground Digest" выпуск
8.29 (изложение которой можно найти в ), фильтр непристойностей,
встроенный в программное обеспечение America Online, отверг слово
"Scunthorpe", но принял "Sconthorpe". (На
русском языке это приблизительно соответствует замене названия
"Отпадинск" на "Отпудинск" - прим. перев.)
С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe
Filter". В других сообщениях, поступивших в телеконференцию
RISKS, многочисленные корреспонденты прокомментировали эффекты
фильтрации безобидных жаргонных словечек, имеющих ложные вхождения
в нормальные слова на английском или, в особенности, на других
языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,
построенных на этом принципе - прим. перев.) Можно подумать, что
программисты America Online брали уроки у разработчиков современных
антивирусных средств.
Согласно сообщению английской
газеты "Daily Mail" от 27 апреля (см. также ),
криминальные хакеры получили доступ к конфиденциальным файлам
университета в Кембридже, из-за чего пришлось срочно менять пароли
у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали
медицинскую, коммерческую и научную информацию. Однако, в отличие
от эффектной газетной заметки, правда оказалась более прозаичной.
Как сообщил Stephen Early <>
(см. ), в одной из подсетей информационной системы
университета была обнаружена установленная программа перехвата
сетевых пакетов.
Асимметричные алгоритмы
Асимметричные алгоритмы используются в асимметричных криптосистемах для шифрования симметричных сеансовых ключей (которые используются для шифрования самих данных).
Используется два разных ключа - один известен всем, а другой держится в тайне. Обычно для шифрования и расшифровки используется оба этих ключа. Но данные, зашифрованные одним ключом, можно расшифровать только с помощью другого ключа.
Тип
Описание
RSA
Популярный алгоритм асимметричного шифрования, стойкость которого зависит от сложности факторизации больших целых чисел.
ECC (криптосистема на основе эллиптических кривых)
Использует алгебраическую систему, которая описывается в терминах точек эллиптических кривых, для реализации асимметричного алгоритма шифрования.
Является конкурентом по отношению к другим асимметричным алгоритмам шифрования, так как при эквивалентной стойкости использует ключи меньшей длины и имеет большую производительность. Современные его реализации показывают, что эта система гораздо более эффективна, чем другие системы с открытыми ключами. Его производительность приблизительно на порядок выше, чем производительность RSA, Диффи-Хеллмана и DSA.
Эль-Гамаль.
Вариант Диффи-Хеллмана, который может быть использован как для шифрования, так и для электронной подписи.
Атаки на алгоритмы
Многие разработчики, несмотря на наличие в России государственных стандартов цифровой подписи и хэш-функции, пытаются разработать свои собственные алгоритмы. Однако, из-за низкой квалификации авторов данные алгоритмы не обладают свойствами, присущими качественным алгоритмам, разработанными математиками-криптографами. К ошибкам, которые существуют в алгоритмах криптографов-самоучек, можно отнести:
Периодическое повторение одних и тех же значений алгоритмами генерации случайных чисел, которые получили широкое распространение в криптографии.
Возможность генерации одинаковой хэш-функции для двух различных документов. Такое событие называется "коллизией" и надежный алгоритм хэш-функции должен противостоять такого рода "неприятностям".
Многие разработчики пытаются сохранить разработанный алгоритм в секрете, тем самым надеясь гарантировать его надежность. Однако согласно приведенному выше правилу Киркхоффа, надежность цифровой подписи должна определяться только секретностью ключа, используемого для подписи сообщения.
Кроме того, иногда в российских журналах или телеконференциях в сети Internet и FIDOnet можно прочитать сообщения об оптимизации существующих стандартов (например, ГОСТ 28147-89 или DES), которые якобы не снижают надежности самих стандартов, а скорость работы при этом возрастает на один-два порядка. К таким сообщениям надо относиться с определенной степенью скептицизма. Выгоды от применения "оптимизированных" алгоритмов сомнительны, а вот вероятность фальсификации документов, подписанных с их помощью, увеличивается.
Атаки на аппаратное обеспечение.
Некоторые системы, в особенности, коммерческие, в вопросах безопасности полагаются на защищённое от несанкционированного доступа аппаратное обеспечение – карточки с микропроцессором (smart card), электронные бумажники, защитные заглушки и т.д. Эти системы могут предполагать, что общедоступные терминальные устройства никогда не попадут не в те руки или "не те руки" не будут обладать достаточными знаниями или оборудованием для атаки на аппаратное обеспечение. Хотя аппаратное обеспечение безопасности и является важным компонентом многих надёжных систем, мы не доверяем системам, надёжность которых базируется исключительно на предположениях о защищённости от несанкционированного доступа. Нам редко встречались работоспособные системы защиты от несанкционированного доступа, а инструменты преодоления такой защиты совершенствуются постоянно. Когда мы разрабатываем системы, использующие элементы защиты от несанкционированного доступа, мы обязательно встраиваем дополнительные механизмы обеспечения безопасности на случай, если система защиты от несанкционированного доступа не сработает.
Хронометрические атаки (timing attack) наделали много шума в прессе в 1995 году: закрытые ключи RSA могут быть восстановлены измерением относительных интервалов времени, затраченных на произведение криптографических операций. Эти атаки были успешно применены к карточкам с микропроцессорами и другим средствам надёжной идентификации, а также к серверам электронной коммерции в Сети. Counterpane, в числе других, обобщила эти методы, включая атаки на системы путём измерения уровня потребления энергии, излучения и других побочных каналов и применила их против многих алгоритмов, как с открытым ключом, так и симметричных, в "надёжных" системах идентификации. Однако мы нашли средства идентификации, вытянуть из которых секретный ключ, наблюдая за побочными каналами, нам не удалось. Связанное с этим направление исследований рассматривало анализ ошибок: преднамеренно спровоцированные ошибки криптографического процессора с целью определения секретных ключей. Эффект от таких атак может быть огромным.
Атаки на цифровую подпись
Пользователю системы электронной цифровой подписи необходимо знать, каким образом злоумышленник может осуществить атаку на ЭЦП. В документации на многие системы цифровой подписи очень часто упоминается число операций, которые надо осуществить для перебора всех возможных ключей. Однако это только один из возможных вариантов реализации атак. Квалифицированный злоумышленник далеко не всегда использует такой "грубый" перебор (brute force search) всех возможных ключей. Рассмотрим подробнее некоторые из типов атак.
Атаки на криптографические модели.
Криптографическая система может быть сильна лишь настолько, насколько таковыми являются алгоритмы шифрования, алгоритмы цифровой подписи, односторонние хэш-функции и коды идентификации сообщений, на которые она опирается. Взломайте что-нибудь одно и вы взломаете систему. И как можно построить слабую структуру из крепких материалов, так и возможно построить слабую криптографическую систему из надежных алгоритмов и протоколов.
Мы часто находим системы, которые "аннулируют гарантию" своей криптографии неправильным использованием последней: не проверяя размеры значений, повторно используя случайные параметры, которые повторно использовать никогда нельзя, и т.д. Алгоритмы шифрования не всегда обеспечивают целостность данных. Протоколы обмена ключами не гарантируют получение обеими сторонами одного и того же ключа. В недавнем исследовательском проекте мы нашли, что некоторые (не все) системы, использующие связанные ключи могут быть взломаны, даже если каждый отдельный ключ безопасен. Безопасность – нечто намного большее, чем простое использование алгоритма и ожидание получить работоспособную систему. Даже хорошие инженеры, известные компании и большие усилия не гарантируют устойчивой реализации; наша работа над алгоритмом шифрования в цифровой сотовой связи в США подтвердила это.
Генераторы случайных чисел – ещё одно место, в котором часто ломаются криптографические системы. Хорошие генераторы случайных чисел сложны в разработке, так как их надёжность часто зависит от особенностей аппаратного и программного обеспечения. Многие из проверенных нами продуктов используют плохие. Криптография может быть сильной, но если генератор случайных чисел выдаёт слабые ключи, то систему взломать гораздо проще. Другие продукты используют надёжные генераторы случайных чисел, но не используют достаточно случайности для обеспечения надёжной криптографии.
Недавно Counterpane опубликовала новый класс атак на генераторы случайных чисел (), основанный на нашей работе над коммерческими моделями. Одна из самых неожиданных находок была в том, что определённые генераторы случайных чисел могут быть надёжными при использовании с одной целью, но ненадёжными для другой; обобщение анализа надёжности опасно.
В результатах другого исследования мы рассматривали взаимодействие между двумя, поодиночке надёжными криптографическими протоколами. Мы показывали, как по заданному надёжному протоколу построить другой надёжный протокол, который взломает первый при использовании с теми же ключами на том же устройстве.
Атаки на криптографию.
Порой продукты имеют изъяны в криптографической системе. Некоторые полагаются на собственные алгоритмы шифрования. Они неизменно оказываются очень слабыми. Counterpane имеет определённые достижения в области взлома известных алгоритмов шифрования, но среди "самодельных" таких достижений гораздо больше. Секретность алгоритма не является большим препятствием для анализа – в любом случае, потребуется лишь несколько дней для инженерного анализа криптографического алгоритма из исполняемого кода. Одна из проанализированных нами систем, стандарт электронной почты S/MIME 2, использовала относительно устойчивую конструкцию, но реализованную со слабым криптографическим алгоритмом. Система шифрования DVD выбрала слабый алгоритм и сделала его ещё слабее.
Мы встречали много других криптографических ошибок: реализации, повторяющие "уникальные" случайные величины, алгоритмы цифровой подписи, недостаточно тщательно проверяющие параметры, хэш-функции, изменённые так, что теряются самые важные их свойства. Мы встречали протоколы, которые использовались не так, как это было предусмотрено разработчиками и протоколы, "оптимизированные", по-видимому, тривиальными способами, что полностью лишило их надёжности.
Атаки на криптосистему
Под криптосистемой понимается не только используемый алгоритм выработки и проверки цифровой подписи, но также механизм генерации и распределения ключей и ряд других важных элементов, влияющих на надежность криптосистемы. Ее надежность складывается из надежности отдельных элементов, составляющих эту криптосистему. Поэтому в некоторых случаях нет необходимости атаковать алгоритм. Достаточно попытаться атаковать один из компонентов криптосистемы. Например, механизм генерации ключей. Если датчик случайных чисел, реализованный в криптосистеме для генерации ключей, недостаточно надежен, то говорить об эффективности такой системы не приходится. Даже при наличии хорошего алгоритма ЭЦП. Для алгоритмов, основанных на открытых ключах, например, RSA или Эль-Гамаля, существует ряд математических проблем, которые не всегда учитываются при построении криптосистемы. К таким моментам можно отнести выбор начальных значений, на основе которых создаются ключи. Есть определенные числа, которые позволяют очень быстро вычислить секретный ключ ЭЦП. В то же время правильный выбор начальных значений позволяет гарантировать невозможность "лобовой" атаки в течение нескольких сотен лет при современном развитии вычислительной техники.
Атаки на модели доверия.
Многие из более интересных наших атак были направлены на модели доверия, лежащие в основе системы: кому или чему доверяет системы, каким образом и до какой степени. Простые системы, такие как программы шифрования содержимого жёстких дисков или продукты для обеспечения секретности телефонных переговоров, обладают простыми моделями доверия. Сложные системы, такие как системы электронной коммерции и многопользовательские системы безопасности электронной почты, имеют сложные (и тонкие) модели доверия. Программа для работы с электронной почтой может использовать невзламываемое шифрование, но пока ключи не подтверждены достоверным источником (или пока такое подтверждение не может быть проверено), система остаётся уязвимой. Некоторые коммерческие системы могут быть взломаны путём сговора продавца и покупателя, или двух разных покупателей. Другие системы делают неявные предположения о инфраструктуре обеспечения безопасности, не заботясь о проверке подлинности этих предположений. Если модель доверия не документирована, инженер может неосознанно изменить её на стадии разработки продукта и, тем самым, скомпрометировать систему обеспечения безопасности.
Многие программные системы делают неверные предположения относительно компьютеров, на которых они запущены, – они предполагают, что компьютер надёжен. Такие программы часто могут быть взломаны "троянскими конями" - программами, которые подсматривают пароли, читают открытые сообщения или обходят систему безопасности иным путём. Системы, работающие через вычислительную сеть, должны предусматривать дефекты систем безопасности, вызываемые сетевыми протоколами. Компьютеры, подключённые к Internet также уязвимы. Криптография может оказаться неуместной, если её можно обойти, воспользовавшись ненадёжностью сети. И не существует программного обеспечения, устойчивого к декомпиляции.
Часто система разрабатывается с расчётом на одну модель доверия, а реализуется с другой. Решения, принятые в процессе разработки могут быть полностью проигнорированы к моменту продажи конечному потребителю. Система, надёжная в случае использования надёжными операторами на компьютерах, находящихся под полным контролем компании, использующей систему, может оказаться ненадёжной, если операторы – временные работники с предельно низким жалованьем, а компьютеры не заслуживают доверия. Хорошие модели доверия работают даже тогда, когда одно из предположений о доверии перестаёт быть верным.
Атаки на пароли.
Многие системы взламываются из-за того, что полагаются на пароли, созданные пользователями. Предоставленные сами себе, люди не склонны к выбору надёжных паролей. Если заставить их использовать надёжные пароли, то они будут их забывать. Когда пароль становится ключом, то, обычно, проще и быстрее угадать пароль, нежели подобрать ключ – мы встречали доскональные системы, терпевшие на этом пути неудачу. Некоторые интерфейсы пользователя только усугубляют проблему, ограничивая длину пароля восемью символами, преобразовывая всё к нижнему регистру и т.д. Даже идентификационная фраза (многословный вариант пароля) может оказаться ненадёжной: поиск среди фраз из 40 символов обычно гораздо проще поиска среди произвольных ключей длиной 64 бита. Нам также встречались системы восстановления ключей, которые дискредитировали надёжные сеансовые ключи использованием слабых паролей для восстановления ключа.
Атаки на пользователей
Не стоит забывать, что конечный пользователь также является элементом криптосистемы и также подвержен атакам, наравне со всеми остальными элементами. Пользователь может передать дискету с секретным ключом ЭЦП своему коллеге для подписи документов в свое отсутствие. Пользователь может потерять такую дискету или другой носитель секретных ключей и не сообщать об утере до того момента, пока эта дискета не понадобится вновь. Во многих системах пользователь может сам создавать себе ключи для выработки подписи. Генерация ключа основывается на паролях, выбираемых самим пользователем. Как известно фантазия в выборе таких паролей у пользователя очень слаба. Поэтому выбираются легко запоминаемые слова или фразы, которые легко угадываются злоумышленниками.
Даже если система надёжна при надлежащем обращении, пользователи могут случайно нарушить систему безопасности, особенно, если система спроектирована не очень хорошо. Классический пример – пользователь, дающий свой пароль другим сотрудникам, чтобы они могли решать какие-то вопросы, когда его самого нет на месте. Пользователи могут не докладывать о пропаже карточки доступа, если она потерялась. Они могут невнимательно проверять имя на электронном сертификате. Они могут повторно использовать свои надёжные пароли на других, ненадёжных системах. Они могут не изменить настройки безопасности программного обеспечения, установленные по умолчанию на низкий уровень безопасности. Хорошо спроектированная система не сможет решить всех этих социальных проблем, но поможет избежать многих из них.
Атаки на реализации.
Многие системы рушились из-за ошибок в реализации. Некоторые системы не убеждаются в уничтожении открытого текста после шифрования. Другие системы используют временные файлы, чтобы защититься от потерь данных, связанных с крахом системы, или виртуальную память, чтобы расширить объём доступной памяти; эти возможности могут случайно оставить открытый текст валяющимся на жёстком диске. В особых случаях операционная система может оставить ключи на жёстком диске. В одном из рассмотренных продуктов использовалось специальное окно для ввода пароля. Пароль оставался в памяти окна даже после его закрытия. И не важно, насколько хороша была криптография продукта, – он был взломан через интерфейс пользователя.
Другие системы терпели поражение от менее явных проблем. Иногда одни и те же данные шифровались двумя разными ключами, одним сильным и одним слабым. Другие системы использовали главные ключи и, затем, одноразовые сеансовые ключи. Мы взломали их с помощью частичной информации о разных ключах. Мы также встречали системы с неадекватными механизмами защиты главных ключей, ошибочно полагающихся на надёжность сеансовых ключей. Жизненно важно перекрыть все возможные пути изучения ключа, а не только самые очевидные.
Системы электронной коммерции часто идут на компромисс в вопросах реализации с целью обеспечения простоты использования. Здесь мы находили скрытые слабые места, появившиеся из-за того, что разработчики не продумывали тщательно влияние этих компромиссов на безопасность. Наверное, проводить согласование счетов раз в день проще, но какой вред может нанести злоумышленник за несколько часов? Возможно ли переполнение механизмов контроля, с целью скрыть личность злоумышленника? Некоторые системы хранят скомпрометированные ключи в рабочих списках (hotlists) – атака на такие списки может быть очень плодотворной. Другие системы могут быть взломаны посредством replay-атак: повторным использованием старых сообщений или их частей с целью обмана различных механизмов.
Системы, которые допускают восстановление ключей в экстренной ситуации, предоставляют ещё одно направление для атаки. Хорошие криптографические системы разрабатываются с таким расчётом, чтобы время жизни ключа было как можно короче. Восстановление ключей зачастую сводит на нет усилия по повышению надёжности, заставляя ключ существовать дольше, чем требуется. Более того, базы данных восстановления ключей являются источниками уязвимостей сами по себе и должны разрабатываться и реализовываться с учётом требований безопасности. В одном из рассмотренных продуктов дефект базы данных восстановления ключей давал преступникам возможность для мошенничества с возможностью свалить всё на законных пользователей.
Атаки на реализацию
Атаки именно этого типа наиболее часто используются злоумышленниками. Связано это с тем, что для их реализации нет необходимости обладать обширными познаниями в области математики. Достаточно быть квалифицированным программистом. Примеров неправильной реализации, приводящей к атаке на нее, можно назвать множество. Например:
Секретный ключ ЭЦП хранится на жестком диске.
После завершения работы системы ЭЦП, ключ, хранящийся в оперативной памяти, не затирается.
Обеспечивается безопасность сеансовых ключей и недостаточное внимание уделяется защите главных ключей.
Открыт доступ к "черным спискам" скомпрометированных ключей.
Отсутствует контроль целостности программы генерации или проверки ЭЦП, что позволяет злоумышленнику подделать подпись или результаты ее проверки.
В качестве примера атаки на реализации систем ЭЦП можно назвать случай, описанный в середине 90-х годов в отечественной прессе и связанный с устанавливаемой "закладкой" в широко распространенную программу PGP. Вопросы, касающиеся атак на аппаратную реализацию, в данной публикации рассматриваться не будут в связи с тем, что в России практически нет средств, реализующих цифровую подпись на аппаратном уровне. Можно добавить, что существуют варианты атак на аппаратные элементы хранения ключей ЭЦП (таблетки Touch Memory, смарт-карты и т.п.). Такого рода атаки получили очень широкое распространение в последнее время.
Атаки на восстановление после сбоя.
Сильные системы проектируются с таким расчётом, чтобы не дать небольшим проблемам с системой безопасности стать большими. Восстановление ключа к одному файлу не должно давать злоумышленнику возможности читать все файла на жёстком диске. Хакер, разобравший смарт-карту не должен иметь возможности найти пути к взлому других смарт-карт в системе. В многопользовательской системе знание секретов одного не должно компрометировать других.
Многие системы по умолчанию находятся в небезопасном режиме. Если функция системы безопасности не работает, большинство людей просто отключают её и занимаются своими делами. Если система проверки кредитных карточек в реальном времени отключена, придётся воспользоваться менее надёжной "бумажной" системой. Аналогично, порой бывает возможно устроить атаку отката версии (version rollback attack) после того, как она была модернизирована для усовершенствования системы безопасности: требование обратной совместимости позволяет злоумышленнику вынудить использовать старый, менее надёжный протокол.
Другие системы не имеют возможности "на ходу" восстановиться после аварии. Если система безопасности взломана, то пути её исправить нет. Для систем электронной торговли, порой насчитывающих миллионы пользователей, это может оказаться чрезвычайно разрушительным. Такие системы должны быть готовы ответить на атаку и модернизировать систему безопасности, не выключая всю систему. Фраза "и компания сворачивается" - не то, что Вы хотели бы поместить в бизнес-план. Хороший проект системы учитывает действия на случай обнаружения атаки и вырабатывает пути локализации повреждения и восстановления после атаки.
Аутентификация
Аутентификация является одним из самых важных компонентов брандмауэров. Прежде
чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,
необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,
что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы
разрешены называется авторизацией. Авторизация обычно рассматривается в контексте
аутентификации - как только пользователь аутентифицирован, для него определяются
разрешенные ему сервисы). При получении запроса на использование сервиса от имени
какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для
данного пользователя и передает управление серверу аутентификации. После получения
положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое
пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е.
пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в
ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей.
Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть
перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи
перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить
следующий пароль из предыдущего является крайне трудной задачей. Для генерации
одноразовых паролей используются как программные, так и аппаратные генераторы -
последние представляют из себя устройства, вставляемые в слот компьютера. Знание
секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд
брандмауэров поддерживают Kerberos - один из наиболее распространенных методов
аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры
поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее
приемлемой для своих условий.
Аварийное завершение соединения с атакующим узлом
Модуль слежения системы RealSecure? может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.
Август
По каналам европейских
новостей прошли сообщения о том, что ЦРУ США осуществило хакерские
проникновения в компьютеры Европейского парламента и Европейской
комиссии, чтобы выкрасть экономические и политические секреты.
Утверждается, что персонал Комиссии обнаружил свидетельства того,
что американцы использовали информацию, добытую криминальным,
хакерским путем, для получения преимуществ по Генеральному соглашению
по тарифам и торговле. ("Sunday Times", 4 августа; ).
Телефонные хакеры проникли
в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5
миллионов долларов неоплаченными звонками с использованием прямого
доступа к внутренним сервисам. (Reuters, 5 августа).
Церковь сайентологов приняла
решение отозвать один из своих многочисленных судебных исков о
нарушении авторских прав после того, как компания Netcom On-Line
Communication Services согласилась выдавать на пользовательские
экраны предостережения о необходимости соблюдать права на интеллектуальную
собственность. Церковь сайентологов нередко добивается возмещения,
когда ее религиозные учения, оформленные ею как защищенные авторскими
правами коммерческие секреты, публикуются без получения на то
разрешения. (AP, 5 августа).
Один из корреспондентов
списка рассылки "Best of Security" сообщил 9 августа:
"Exploder - это один из элементов управления в среде ActiveX.
демонстрирующий проблемы с информационной безопасностью в Microsoft
Internet Explorer. Exploder выполняет аккуратное завершение работы
систем под Windows 95 и даже выключает питание на компьютерах,
BIOS которых содержит средства энергосбережения (так называемые
"зеленые" компьютеры)."
Несколько недель спустя
профессор Принстонского университета Ed Felten вместе со своей
группой обнаружил брешь в защите в Internet Explorer 3.0. Используя
эту брешь, атакующий, должным образом сформировав свою Web-страницу
и "заманив" на нее пользователя Explorer, может выполнить
на компьютере последнего любую DOS-команду. Например, атакующий
может прочитать, изменить или удалить файлы, внедрить вирус или
троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу,
чтобы продемонстрировать выявленную проблему, удаляя файл на машине
зашедшего на эту страницу Explorer-пользователя. ().
В декабре газета "Computerworld" сообщила, что объекты,
построенные в среде ActiveX, могут осуществлять доступ к системным
ресурсам на компьютерах пользователей, что способно привести к
нарушениям безопасности или повреждению данных на ПК. ().
На собрании Американской
психологической ассоциации в Торонто говорилось о явлении "интернетомании",
напоминающем наркоманию. Доктор Kimberly Young из Питсбургского
университета рассматривала детали интернетоманского поведения.
Например, известны случаи, когда люди в силу личной потребности
проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы
старались ходить в Сеть посреди ночи, чтобы избежать упреков со
стороны родных; другие норовили сказаться больными, чтобы иметь
возможность остаться дома и путешествовать по Интернет. Часть
людей растягивала обеденный перерыв на три часа, чтобы вдоволь
поиграть в Сети. (AP, UPI, 10 августа).
Профессор юриспруденции
Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель
профессора - запретить федеральным властям ограничивать его или
чьи бы то ни было права на обсуждение несекретных криптографических
технологий с любым гражданином любой страны, равно как и права
на свободную публикацию информации такого рода. Толчком к подаче
иска стало раздражение профессора, вызванное ощущением, что законодательство
о контроле за международной торговлей оружием мешает ему обсуждать
криптографические алгоритмы в рамках курса по компьютерному праву,
среди слушателей которого есть иностранные студенты. ("COMTEX
пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные
системы. (RISIS 18.39).
В Хельсинки Johan Helsingius
опротестовал обвинение в том, что большая часть мировой детской
порнографии пересылается через его сервис анонимной почты anon.penet.fi.
Спустя короткое время он все-таки закрыл свой сервис, поскольку
продолжавшееся полицейское расследование вызвало у него отвращение.
(Reuters, 28 августа; см. также ).
Новости из подполья. Шайка
криминальных хакеров "Scriptors of Doom" начала еженедельную
публикацию средств использования слабостей в защите операционной
системы HP-UX. Криминальный хакер "Galf" начал мстить
за нападки на Netta Gilboa на съезде Defcon, разрушая системы
обидчиков.
Автоматическое обновление уязвимостей
До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения. Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.
Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.
"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
"Black Hole" поддерживает следующие виды сервисов:
терминальный доступ (TELNET)
передача файлов (FTP)
почта (SMTP)
новости Usenet (NNTP, SNNTP)
Web (HTTP, HTTPS)
Gopher
Real Audio
Archie
Wais
X Window System
Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.
"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров:
адрес источника
адрес назначения
сервис ( FTP, TELNET, и т.д.)
дата и время доступа
идентификатор и пароль пользователя
"Black Hole" поддерживает строгую аутентификацию как с использованием обычных
паролей, так и различных типов одноразовых паролей:
S/Key
Enigma Logic Safeword
Security Dynamics SecureID,
при этом аутентификация может быть включена для любого вида сервиса.
"Black Hole" поддерживает два режима аутентификации:
аутентификацию каждой TCP сессии
прозрачную аутентификацию
Второй режим позволяет прозрачно пользоваться всеми авторизованными
пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого
режима пользователю необходимо аутентифицироваться при помощи одного из
следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно
задать период времени, в течении которого он может использовать этот режим. Это
позволяет создать крайне удобный для пользователя режим использования firewall.
Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"
позволяет администратору системы описывать опасные события и реакцию на них
системы (вывод на консоль, звонок на пейджер и т.д.)
"Black Hole" позволяет описывать различные типы нарушений и определять реакцию
на их появление.
"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста
назначения сразу указывается необходимый сервер, без первоначального
соединения с proxy и с proxy до нужного хоста).
"Black Hole" предоставляет сервис для создания групп пользователей, сервисов,
хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность
легко описывать и администрировать большое количество пользователей.
"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,
так что настойкой системы может заниматься неискушенный в UNIX человек. Все
административные функции могут быть выполнены из этой оболочки. Ядро ОС
модифицировано для защиты графического интерфейса от внешнего доступа.
"Black Hole" предоставляет следующие возможности по конвертации адреса
источника пакета при прохождении через firewall:
адрес может быть заменен на адрес firewall;
адрес может быть оставлен без изменения;
адрес быть заменен на выбранный администратором
Последняя опция позволяет для пользователей INTERNET представлять
внутреннюю сеть как состоящую из набора подсетей.
"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через
дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).
Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом
контроль доступа и сбор статистики за использованием этих сервисов.
"Black Hole" использует для хранения и обработки статистической информации
реляционную базу данных с языком запросов SQL. Большой выбор типов выборок
по различным параметрам соединения в сочетании со средствами графического
представления
"Black Hole" функционирует на PC и Sun Sparc платформах под управлением
модифицированных версий операционных систем BSDI и SunOS.
"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.
"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79
Авторские права
Авторские права 1998 принадлежат Robert Graham (). Все права охраняются законом. Настоящий документ может копироваться (частично или полностью) только в некоммерческих целях. Все копии должны содержать это указание об авторских правах.
Безопасна ли Java?
Не всегда хорошие идеи столь же хорошо воплощаются. Так случилось и с Java. Хотя защитные механизмы этой технологии очень хорошо продуманы, но их реализация еще далека от совершенства. Поэтому далее будет приведен небольшой список возможных "нападений". Не берусь судить, насколько серьезна опасность, связанная с каждым из описанных дефектов защиты, - я не хакер. Я просто хочу предупредить об этой опасности. При этом мне бы не хотелось. чтобы у читателя сложилось мнение, что Java "беззащитна". Не стоит забывать: Java все-таки имеет достаточно мощную защиту, "взломать" которую не так-то просто. Блокировка сервиса
Это "нападение", в результате которого частично или полностью блокируется работа пользователя и даже может быть выведен из строя браузер. Вот далеко не полный список возможных вариантов такого "нападения":
загрузка процессора бессмысленными действиями (например, бесконечным циклом);
заполнение всей свободной памяти (например, в результате выполнения бесконечного цикла);
захват важных системных классов, например java.net.-INetAddress.
"Тайные" каналы
Эти каналы позволяют "нападающему" получать информацию даже через систему защиты (брандмауэры). Существование "тайных" каналов в браузере делает его очень опасным. В качестве "тайного" канала можно использовать следующие действия аплетов:
посылку почты через SMTP-порт сервера (причем почта посылается от имени пользователя, который работает с аплетом);
запрос на поиск по несуществующему URL-адресу, в котором в качестве параметров передаются необходимые "взломщику" данные;
попытку доступа по несуществующему адресу (последовательность директорий может содержать необходимые данные).
Информация, известная аплетам
С помощью этой информации "нападающий" может получить некоторые сведения, которые впоследствии могут быть им использованы для "взлома". Эту информацию можно передавать даже через брандмауэры по тайным каналам, которые описаны выше. Аплетам обычно известна следующая системная информация:
системное время;
установки функции hashcode( );
название и производитель Java-интерпретатора;
версия JavaAPI;
название и версия операционной системы;
архитектура процессора.
Ошибки реализации
Это основной способ "нападения". Ошибки обычно очень трудно находить и исправлять. Причем для исследования пользовательской системы можно использовать информацию, которая доступна аплетам. Например, если "нападающий" знает, что в определенной версии Internet Explorer есть "полезная" для него ошибка, то, считывая с помощью аплета название и версию браузера и передавая эту информацию по тайным каналам (запрос по несуществующему URL), он получает информацию о своей "жертве".
Перехват ошибок
Java предусматривает перехват исключительных ситуаций. Это необходимо для составления более наглядных программ, благодаря которым обработку всех ошибок можно выполнять централизовано. Однако перехват ошибок позволяет игнорировать исключительные ситуации, создаваемые, например, SecurityManager. Такая ситуация очень опасна, так как позволяет "нападающему" заменить ClassLoader, SecurityManager и другие ключевые объекты. Естественно, хотелось бы блокировать подобные ситуации еще при загрузке аплета, но современные загрузчики этого не умеют. Вероятно, этот недостаток будет скоро исправлен.
Имя упаковки
Если "/" - первый символ имени упаковки, то система попытается загрузить эту упаковку с локального диска, причем загружается она с меньшими требованиями к безопасности, так как предполагается, что запускаемому с локального диска аплету можно доверять. Таким образом, любой Java-класс, который "атакующий" может записать на локальный диск, может быть загружен с ослабленной защитой. Причем "опасные" классы могут быть записаны на диск с помощью механизма кэширования браузера. Поэтому становится возможной загрузка "агрессивного" класса с ослабленной защитой. Вероятно, и этот недостаток загрузчиков будет скоро исправлен.
* * *
Перечисленные лазейки в системе безопасности Java не означают полной беззащитности пользователей при возможных "нападениях". Чтобы воспользоваться этими ошибками, хакерам еще предстоит изрядно попотеть. Поэтому не спешите стирать свой браузер, а просто относитесь к аплетам и Java-программам чуть более настороженно.
Установить баланс между возможностями загружаемых аплетов и защитой клиентской системы довольно сложно. Некоторые компании предлагают усилить защиту клиентской системы от "агрессивных" аплетов, не ограничивая при этом возможностей "благонадежных" программ. К сожалению, предлагаемые решения невозможно сделать независимыми от конкретной платформы, что противоречит требованию абсолютной переносимости Java-программ. Поэтому, видимо, информационная безопасность еще долгое время будет оставаться одним из сложных и спорных вопросов Java-технологии.
Валерий Коржов - сотрудник компании Jet Infosystems. С ним можно связаться по тел.: 972-11-82 или электронной почте
* На основе "Ответов на часто задаваемый вопросы по безопасности WWW", которые можно найти по адресу .
Безопасность Java: миф или реальность?
Валерий Коржов
Журнал #02/97
Технология Java прочно завоевывает современный компьютерный мир. Ее широкие возможности по созданию распределенных вычислений не могут оставить равнодушными ни одного разработчика программного обеспечения. Однако часто бывает так, что серьезные возможности порождают не менее серьезные проблемы, связанные с обеспечением безопасности. Создатели Java предусмотрели определенные методы защиты данных при распределенных вычислениях, но сейчас еще трудно понять, насколько правильно были спроектированы эти защитные механизмы. Прежде чем рассказывать о предусмотренных в Java средствах защиты, необходимо сказать несколько слов о самой технологии.
А. В. Агpановcкий, Р. А. Хади
Криптография сегодня - это уже целая отрасль знаний, захватывающая огромные разделы других наук, целью которой является изучение и создание криптографических преобразований и алгоритмов. В настоящее время четко различаются две ветви развития криптографии: классическая традиционная криптография и современная "асимметричная" криптография...
Новичков Александр
Статья целиком посвещена описанию систем защиты от нелегального копирования программного обеспечения. Рассматриваются основные программные продукты, обеспечивающие защиту от взлома и их основные свойства. Дается вводная часть в тактику и технологию взлома.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Уязвимостью называется любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Последние несколько лет ознаменовались постепенной заменой бумажной технологии обработки информации ее электронным аналогом. Со временем можно ожидать полного вытеснения бумажного документооборота электронным. Однако представление традиционных бумажных документов в виде электронных последовательностей, состоящих из нулей и единиц, обезличивает последние. Защитных атрибутов бумажных документов: подписей, печатей и штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., - у электронного представления документов нет. Но электронные документы нужно защищать не менее тщательно, чем бумажные. Поэтому возникает задача разработки такого механизма электронной защиты, который бы смог заменить подпись и печать на бумажных документах.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Одной из главных забот любого руководителя является стабильная и бесперебойная работа своего предприятия. Любое отклонение функционирования фирмы от нормального приводит к нанесению различных форм ущерба, например, финансовые и временные потери, потеря имиджа и т.п. В последние годы эти убытки зачастую возникают из-за нарушения политики безопасности, в том или ином виде имеющейся в организации.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но... это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности. При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.
Борисов В.И., начальник отдела платформенного программного обеспечения компании IBS, Забулонов М.Ю., эксперт по системам антивирусной защиты
В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, по сути дела являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.
Превод с англ. и доработка текста: Oleg Prolubshikov
Titov Oleg,
Михаил Елагин ()
Александр Аграновский (), Роман Хади ()
Перевод статьи -
, перевод: Василий Кондрашов
Беляев А.В., ЧФ СПбГТУ
Илья Басалаев a.k.a. Scarab.
О. В. Генне, ООО "Конфидент" , No.3, 2000
Мэтью Ньютон , #06/2000
Джоул СНАЙДЕР, журнал "", #02/2000
Дебора РЭДКЛИФФ, Журнал , #02/2000
Алексей Абсалямов, , #03/2000
, #02/2000
Виктор Олифер,
Виктор Олифер,
Медведовский И.Д., Семьянов П.В., Платонов В.В., НПО "Мир и семья-95", 1997 г.
Алексей ЛУКАЦКИЙ, НИП "Информзащита", СЕТИ #10/99
Валерий Коржов, журнал #02/97
Владимир Казеннов
перевод Владимира Казеннова
Robert Graham, перевод Алексея Лукацкого, НИП "Информзащита"
НИП "Информзащита"
НИП "Информзащита"
Э. Гутман, Л. Леонг, Дж. Малкин
Владимир Казеннов
, А.Лукацкий, руководитель отдела Internet-решений НИП "Информзащита"
Официальные документы и публикации ГосТехКомиссии России
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена "Р-Альфа"
Авторизованный перевод Владимира Казеннова статьи Дж. Чандлер "Cryptography 101"
Перевод Владимира Казеннова
Перевод Владимира Казеннова
Перевод Владимира Казеннова
M.E. Kabay, перевод компании
MB, Сервер "Частная жизнь в Интернете"
Фоменков Г.В., Академия ФСБ РФ
Е. В. БАЛАКШИН, С. В. ХЛУПНОВ, Корпорация ЮНИ
Информация предоставлена "Р-Альфа"
В. Галатенко, И. Трифоленков, АО "Инфосистемы Джет"
С.Рябко, АО ЭЛВИС+
В. Бутенко, В. Громов, Гостехкомиссия России
М. Ганев, "Р-Альфа"
Корпорация ЮНИ
И. Трифаленков, Jet Infosystems
Межсетевой экран BlackHole является фильтром
Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от
несанкционированного доступа машин в приватной сети. Поддерживаются все
стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP,
TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран
располагается между приватной сетью и глобальной сетью Internet.
Межсетевой экран базируется на принципе - "что не разрешено, то запрещено".
Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого"
соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью
блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы.
BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные
условия для пользователей защищенной сети, поэтому имеет прозрачный режим
работы. В последнем случае пользователь аутентифицируется при первоначальном
использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в
течение времени, определяемого администратором.
Аутентификация пользователей производиться по следующим правилам:
Где находиться с использованием исходного и конечного адресов
запроса
Что хочет с использование типам запрошенного сервиса
Когда хочет с использованием времени суток и даты запроса
Что он знает с использованием имени пользователя и пароля
Что у него есть с использованием смарт-карты
Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.
Дата и время суток
Тип соединения или протокол
Исходный адрес инициатора
Удаленный адрес запроса
Номер порта для "сырого" соединения
Имя аутентифицированного пользователя
Информацию о трафике
Благодарности
Спасибо следующим людям за полезную информацию: Olaf Schreck (), John Kozubik (), Aaron Bawcom (), Mike Kienenberger ().
Блокирование Java и ActiveX
Возможности FireWall-1 по сканированию и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, как, например, сетевой адрес компьютера клиента и сервера, запрашиваемый URL или зарегистрированное имя пользователя.
FireWall-1 может производить следующие действия над обнаруженным кодом Java и ActiveX:
Удаление Java-аплетов, встречающихся в тексте HTML-страницы
Удаление Java-аплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована
Блокирование Java-атак путем запрещения подозрительных обратных соединений
Удаление ActiveX-аплетов, встречающихся в тексте HTML-страницы
Удаление кода JavaScript, встречающегося в тексте HTML-страницы
Боязнь открытых текстов
Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.
Большое число обнаруживаемых уязвимостей
Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:
Получение информации о сканируемой системе
Проверки FTP
Проверки сетевых устройств
Проверки электронной почты
Проверки RPC
Проверки NFS
Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")
Проверки паролей
Проверки Web-серверов
Проверки Web-броузеров
Проверки возможности осуществления атак типа "подмена" ("Spoofing")
Проверки межсетевых экранов
Проверки удаленных сервисов
Проверки DNS
Проверки файловой системы ОС Windows NT
Проверки учетных записей ОС Windows NT
Проверки сервисов ОС Windows NT
Проверки системного реестра ОС Windows NT
Проверки установленных patch'ей системы безопасности ОС Windows NT
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Большое число проводимых проверок
Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:
Получение информации о сканируемой системе
Проверки настроек FTP
Проверки настроек электронной почты
Проверки настроек RPC
Проверки настроек NFS
Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")
Проверки паролей
Проверки настроек Web-серверов
Проверки настроек Web-броузеров
Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT).
Проверки настроек DNS
Проверки файловой системы ОС Windows NT
Проверки учетных записей ОС Windows NT
Проверки настроек сервисов ОС Windows NT
Проверки системного реестра ОС Windows NT
Проверки установленных patch'ей системы безопасности ОС Windows NT
Проверки антивирусных программ
Проверки прикладного ПО (в т.ч. Microsoft Office)
Проверки настроек модемов.
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Большое число распознаваемых атак
Система RealSecure? позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:
"Отказ в обслуживании" (Denial of service)
Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorized access attempt)
Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.
"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.
"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.
"Анализ протокола" (Protocol decode)
Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Задание шаблонов фильтрации трафика
Для более точной настройки системы RealSecure? на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
"Максимум возможностей" (Maximum Coverage)
Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure?, включая обнаружение атак, анализ протоколов, запись сессий и т.п.
"Детектор атак" (Attack Detector)
Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.
"Анализатор протоколов" (Protocol Analyzer)
Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.
"Web-сторож" (Web Watcher)
Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера. При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.
"Windows-сети" (For Windows Networks)
Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.
"Запись сессий" (Session Recorder)
Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).
"Модуль слежения в DMZ" (DMZ Engine)
Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).
"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)
Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.
Брандмауэр
Информация предоставлена
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или
более частей и реализовать набор правил, определяющих условия прохождения пакетов из
одной части в другую (см ).
Как правило, эта граница проводится между локальной сетью
предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.
Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего
пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы
брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том,
как эти правила описываются и какие параметры используются при их описании речь пойдет
ниже.
Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это
BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных
платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,
семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры
поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства.
Требования к оперативной памяти и объему жесткого диска зависят от количества машин в
защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб
на жестком диске.
Как правило, в операционную систему, под управлением которой работает
брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти
изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом
брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр),
только счет администратора. Некоторые брандмауэры работают только в однопользовательском
режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При
этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются
при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
Все типы могут одновременно встретиться в одном брандмауэре.
Бронежилет для компьютера
Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья. Первое, о чем я хотел бы сказать, это о произошедших изменениях в структуре корпоративных сетей. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные частные сети (virtual private network, VPN) и распределенные межсетевые экраны (distributed firewall). Первое решение, которое не раз освещалось на страницах изданий компании "Гротек", заключается в установке на удаленный узел специального программного обеспечения, которое позволяло получать доступ к защищаемым МСЭ ресурсам по защищенному каналу. Примером такого решения можно назвать абонентский пункт "Континент-К", разработанный НИП "Информзащита" (). Другой пример - VPN-1 SecuRemote компании Check Point Software (), являющейся мировым лидером (по данным компании Dataquest - 52% мирового рынка средств построения VPN) в области разработки средств построения VPN. Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком - сам удаленный узел был подвержен атакам. Установленный на него троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана, который являлся мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является RealSecure Server Sensor и BlackICE Defender компаний Internet Security Systems () и Network ICE (), которая была приобретена 28 апреля 2001 года компанией ISS. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих в сети злоумышленников. Но, т.к. многие функции распределенного МСЭ (например, централизованное управление) для домашних пользователей были лишними, то родилась новая технология, получившая название "персонального межсетевого экрана" (personal firewall), яркими представителями которых являются ZoneAlarm и Norton Internet Security (носивший ранее имя AtGuard) компаний ZoneLabs () и Symantec () соответственно. Компания Check Point Software оказалась впереди и здесь, предложив системы VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя VPN). Именно такая интеграция сделала подвластными межсетевым экранам сети с нечетко очерченными границами. В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях - персональной (для домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent (). Какими функциями должен обладать надежный персональный МСЭ? Сразу необходимо сказать, что далее я, упоминая персональные МСЭ буду иметь ввиду и распределенные МСЭ. Во-первых, этот экран не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно научились обходить такие простые защитные механизмы и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым делая невозможным отслеживание злоумышленника. Мало того, хакер может "подставить" кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, "отказ в обслуживании") адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран - это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы. К сожалению приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall. Модуль BlackICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.
Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.
В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.
Т.к. распределенные экраны управляются централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы (например, Управление "Р"). И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:
IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака.
Имя, под которым злоумышленник вошел в сеть.
Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Представьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, которых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.
В заключение хочу сказать, что правильный выбор персонального или распределенного межсетевого экрана позволит повысить защищенность компьютеров, которые при обычных условиях остаются незащищенными и могут служить точкой проникновения в корпоративную сеть. А чтобы можно было из чего выбирать, я хотел бы привести список персональных межсетевых экранов, которые известны в России:
BlackICE Agent и Defender от компании Internet Security Systems ().
AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security ().
ZoneAlarm от компании ZoneLabs ().
Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum ().
Также упоминаются и другие решения. Например, PGP 7.0 (), Sygate Personal Firewall (), ConSeal Private Desktop (), переименованный в McAfee Personal Firewall, или Tiny Personal Firewall ().
Об авторе:
Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Автор книги "Обнаружение атак". Связаться с ним можно по тел. (095) 937-3385 или e-mail: .
9 ноября 2001 г.
CD-COPS
Тип защиты:
Измерение физических характеристик без нанесения особых меток на носитель(!)
Способ преодоления защиты:
"Кряк"
Аппаратная совместимость (cd/dvd разных производителей):
Средняя (совместима только с популярными приводами)
Наличие особой аппаратуры для защиты серии:
НЕ требуется
Предоставление SDK для производителей:
ДА
Защита мелких партий (CD/R/RW):
НЕТ
Фирма - производитель:
Link Data Security
Сайт производителя:
http://www.linkdata.com/
Коммерческие продукты, использующие данный вид защиты:
Interactive English / De Agostini
Nationalencyklopedin
Agostini Atlas 99
Agostini Basetera
BMM
DK Kort
Lademanns'99
Особенности защиты:
Данная программа пользуется самой эффективной системой защитой от копирования, основанной не на нанесении физических меток, а на способе измерения специфических характеристик CD\DVD-ROM. По словам производителя, система анализирует физический угол между прошлым и текущими логическими блоками на компакт-диске.
Слабое место защиты - это сам код, анализирующий углы. Фирме пока не удалось найти эффективного способа противодействия дизассемблерам и отладчикам.
Цена свободы
Можно ознакомиться с Freedom, скопировав ПО на соответствующем Web-узле по адресу: www.freedom.net. Несложная процедура регистрации наделит вас одним или несколькими электронными псевдонимами, или "нимами" (nyms). Первые три из них предоставляются бесплатно в течение месяца, а вот для их обновления нужно приобрести за 50 долл. порядковый номер Freedom. Причем процесс оплаты организован так, что если используется режим on-line, то номер кредитной карты никак не связывается с "нимами". Для повышения безопасности можно изменять псевдонимы
Сначала следует выполнить конфигурационную установку Freedom. И тогда можно будет отправляться путешествовать по Internet, просто запустив эту программу. С электронной почтой продукт работает следующим образом. Он перехватывает отправленные послания и вместо настоящего адреса "прописывает" в них обратный адрес "нима". Затем послание шифруется и передается через цепочку серверов Freedom Network, часть из которых контролируется фирмой Zero-Knowledge, а часть - другими. Эти рассредоточенные по всему миру серверы скрывают исходный пункт, откуда было отправлено письмо. Ответ на него Freedom Network получает, шифрует и направляет на настоящий адрес электронной почты, опять же скрывая путь его следования. По утверждению Zero-Knowledge, многослойная шифровка, нарастающая подобно луковой шелухе по мере прохождения посланий через Freedom Network, гарантирует, что ни на одном отдельно взятом сервере не имеется информации, достаточной для идентификации личности отправителя. Когда я установил Freedom, то отправил с помощью программы Netscape Messenger другу простое послание типа "Угадай, кто я". Он получил его с обратным адресом: freedom.net, но не смог определить, кто послал. Его ответное послание появилось у меня в ящике входящей почты в Messenger. Кроме того, Freedom позволяет скрывать следы путешествия по Internet. Программа пропускает трафик через Freedom Network таким образом, что Web-серверы видят запросы лишь с серверов Freedom, а не с ПК. Так называемые "плюшки" (cookies), или небольшие файлы, которые Web-серверы размещают на жестком диске компьютера, складываются в специальных областях (сookies jars), предусмотренных в Freedom. Когда я внимательно просмотрел Web-узлы, которые раньше благодаря "плюшкам" имели счастье узнать, кто я такой, то убедился, что больше такой возможности нет. Используя полученный от Freedom "ним", можно отправлять сообщения в Usenet, а также маршрутизировать Telnet, Secure Shell и IRC-соединения через Freedom Network (однако последнего я не проверял). У программы есть и некоторые недостатки. Так, путешествие по Internet кажется слегка замедленным. Freedom не работает в случае соединения через AOL. К тому же это ПО функционирует лишь под управлением ОС Windows 9x. Не работает программа и с некоторыми защитными системами, так что с ее помощью не надерзишь боссу в офисе. И наконец, не стоит угрожать главе государства, думая, что никто не отследит, - Zero-Knowledge признает, что совместить с ним подлинную личность все-таки можно, по крайней мере теоретически. Так стоит ли приобретать Freedom? Если кто-то озабочен тем, что различные узлы Сети отслеживают его приходы и уходы, то для него 50 долл. - это невысокая цена. По утверждению Эбнера Германова, специалиста по обеспечению Internet-безопасности из IDC, Freedom - один из немногих всеобъемлющих инструментов для защиты личности при работе в режиме on-line. Так что в итоге можно сказать следующее: приятно сознавать, что ты можешь обрести "Свободу", если пожелаешь. Freedom
Цена: 50 долл. Zero-Knowledge Systems
Централизованное управление средствами безопасности
Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления. Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS. Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д. В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей. Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.
Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия. Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server. Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.). Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.
Централизованное управление
Центр управления безопасностью маршрутизаторов фирмы Check Point может быть приобретен как отдельный продукт исключительно для управления списками доступа (ACL) маршрутизаторов или вместе с полным решением проблемы безопасности предприятия FireWall-1 (FireWall-1 enterprise security solution). В каждом случае, удобство конфигурирования имеет различную степень оправданности. Более важно использовать возможность Check Point FireWall-1 настраивать и управлять ACL многочисленных маршрутизаторов с одной центральной консоли. Если требуются изменения конфигурации, то они производятся один раз на центральной консоли управления, и затем новые ACL автоматически генерируются системой и автоматически распределяются по нужным маршрутизаторам, расположенным в сети предприятия.
Внедряя управление безопасностью маршрутизаторов в линию своих продуктов, Check Point FireWall-1 обеспечивает организации возможность определять единственную политику безопасности предприятия, которая управляет всеми аспектами сетевой безопасности. FireWall-1 позволяет организации централизованно управлять модулями FireWall-1 также, как модулями маршрутизаторов 3Com, Bay Networks и Cisco, используя единственную базу правил политики безопасности с общим пользовательским интерфейсом управления.
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure? незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner? незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Система System Security Scanner? обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.
Check Point RealSecure начнет поставляться не позднее третьего квартала 1998 года
Check Point RealSecure постоянно анализирует данные из пакетов, проходящих по корпоративной сети. Продукт распознает признаки множества различных методов атак, включая атаки на сетевом уровне и опасные приложения Java и ActiveX, вредоносных действий или нежелательного использования ресурсов сети. Механизм распознавания атак RealSecure (запатентованный ISS) без промедления оповещает администраторов сети о любой подозрительной активности, делает запись в журнале сообщений и имеет возможность автоматически прервать данную сессию. События классифицируются и обобщаются в порядке важности, позволяя быстро оценить сложившуюся ситуацию. Предусмотрен режим “проигрывания” событий для детального анализа или для использования в качестве доказательства преступления. Распределенная архитектура позволяет вам устанавливать мониторы по всей сети компании, что даст возможность видеть и останавливать атаки с единой консоли управления из центра управления сетью.
Чем обмениваются сети предприятия?
Разграничение доступа защищает организацию от потенциальных угроз благодаря четкому специфицированию и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничный шлюз сети организации. Ключевой особенностью устройств, обеспечивающих контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, не могут обрабатывать трафик UDP и динамических протоколов. Средства защиты сетей второго поколения - основанные на использовании приложенийпосредников (proxy) - требуют, зачастую, очень мощных компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Интернет, которые появляются регулярно. В противовес этому, технология stateful inspection, реализованная в Check Point FireWall-1, дает шлюзу полную информацию о коммуникациях, что совместно с объектно-ориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Интернет. FireWall-1 предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.
В дополнение к перечисленным возможностям FireWall-1 позволяет регулировать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация может решить ограничить доступ в Интернет для просмотра Web в рабочее время и разрешить в не рабочие часы. Другой пример - запретить доступ к критическим серверам на время проведения полного сохранения информации серверов.
Что я должен делать, если меня атаковали?
Читайте публикацию CERT: . Главным образом, вы должны реализовать эффективные защитные меры, которые включают:
Создание команды реагирования на инциденты "Incident Response Team". Определите тех людей, которые должны быть вызваны всякий раз, когда зафиксирован инцидент.
Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суде или иной инстанции необходимо не прекращать атаку, а собирать дополнительную информацию об атакующем и его действиях.
Необходимо разработать руководящие документы, описывающие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т.д. вплоть до руководства компании или распространяете также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях как FIRST (или RU-CERT в России - примечание переводчика)? Вы сообщаете об атаке в милицию или иное силовое ведомство? Вы сообщаете об атаке Вашим партнерам, которые подключены к Вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от печатных изданий?
Создайте и опишите процедуры регистрации/аудита/мониторинга. Вы должны иметь адекватную и актуальную информацию о том, что, когда и откуда происходит в вашей сети.
Обучите свой персонал всем этим вопросам.
Так как сети постоянно изменяются настолько быстро, в организациях не хватает обученных людей, которые могут своевременно обрабатывать возникающие инциденты. Аналогично, сети растут таким образом, что регистрация и аудит не всегда адекватны текущему состоянию сети. Это приводит к тому, что люди не знают что делать, когда они атакованы и их сети недостаточно крепки для эффективного противостояния атакам.
Что необходимо принять во внимание?
Check Point Software Technologies предоставляет наборы программных средств, ориентированные на небольшие, среднего уровня и большие компании, обеспечивая комплексную систему информационной безопасности для всей сети предприятия в соответствии с тем, как определены границы этой сети.
Более подробная техническая информация по соответствующим разделам представлена ниже:
Виртуальные частные сети
Высоконадежные системы
Что представляют собой наиболее распространенные DoS (отказ в обслуживании) атаки?
1.10.1 Ping-of-Death
Посылает ICMP-пакета, размером более 64 Кбайт, что может привести к переполнению буфера ОС и выведению атакуемой системы из строя. 1.10.2 SYN Flood
Очень быстро посылает большое число TCP SYN-пакетов (который инициализируют соединение), оставляя жертву в ожидании громадного количества соединений, вызывая тем самым усиленную загрузку ресурсов и отказ от санкционированных соединений. 1.10.3 Land/Latierra
Посылает поддельный SYN-пакет с идентичными исходным/конечным адресом/портом, так что система движется по бесконечной петле, пытаясь выполнить TCP-соединение. 1.10.4 WinNuke
Посылает OOB/URG-данные для TCP-соединения с портом 139 (NetBIOS Session/SMB), который приводит к зависанию Windows-системы.
Что представляют собой некоторые широко распространенные "сигнатуры атак"?
Существует три типа атак: Разведка. Эти атаки включают ping sweeps, передачу DNS-зоны, разведку с помощью e-mail, сканирование TCP или UDP-портов и, возможно, анализ общественно доступных серверов с целью нахождения cgi-дыр. Exploit. Нарушители будут использовать преимущества скрытых возможностей или ошибок для получения несанкционированного доступа к системе. Атаки типа "отказ в обслуживании" (Denial of Service, DoS) Когда нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск. Нарушитель не пытается получить информации, а просто действует как вандал, стараясь вывести вашу машину и строя.
Что происходит после того, как NIDS обнаруживает атаку?
Реконфигурация МСЭ Сконфигурируйте МСЭ так, чтобы отфильтровать IP-адрес хакера. Однако, это по-прежнему позволяет хакеру осуществлять атаки с других адресов. Компания Checkpoint имеет стандарт OPSEC для реконфигурации МСЭ путем блокирования атакующего IP-адреса. МСЭ компании Checkpoint поддерживает "Протокол мониторинга подозрительной деятельности" (Suspicious Activity Monitoring Protocol, SAMP) для конфигурирования своего межсетевого экрана. Звуковой сигнал
Звуковой сигал или воспроизведение .WAV файла. Например, вы можете услышать запись "Вы атакованы". SNMP Trap Посылка управляющей SNMP-последовательности на консоль управления типа HP OpenView, Tivoli TNE, Cabletron Spectrum и т.д. NT Event Сохранение информации о событии в журнале регистрации Windows NT Event Log. syslog Сохранение информации о событии в журнале регистрации syslog UNIX. Посылка e-mail Посылка администратору уведомления об атаке по e-mail. Сообщений на пейджер
Посылка администратору уведомления об атаке на пейджер. Регистрация атаки Сохранение информации об атаке (время, IP-адрес хакера, IP-адрес атакованной машины/порта, информация о протоколе). Сохранение свидетельств Сохранение tracefile-файла необработанных (raw) пакетов для последующего анализа. Запуск программы
Запуск заданной программы для обработки события Отключение TCP-сессии Создание TCP FIN-пакета (или RST) для того, чтобы автоматически завершить соединение.
Что произошло…
При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал. Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен. Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем. Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента. На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.
После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации. Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его. В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему. В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:
НОА тратит все свое рабочее время на доступ в WWW к различным порнографическим сайтам.
Большая часть этих сайтов содержит гомосексуальные картинки.
Загруженные НОА порнографические картинки он держит на своей рабочей станции.
Этот инженер, увольняясь из компании, сделал полную копию всех файлов на рабочей станции НОА, чтобы защитить себя в случае преследования со стороны НОА и юристов организации.
После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.
Инженера видели на его рабочем месте на следующий день после начала срока наказания, и он сказал, что пришел только забрать какие-то бумаги, нужные ему для написания большого отчета. Когда инженер был в офисе, он попросил дать ему возможность удаленного доступа к корпоративной сети из дома на время наказания, чтобы в случае аварии он мог помочь решить проблемы прямо из дома. Такой доступ ему был предоставлен. Для этого другой администратор создал аккаунт для подключения по модему в системе управления модемным пулом организации (блок Shiva) и назначил для него полномочия. Двумя днями позже конфиденциальные письма об этом инженере НОА начальнику отдела кадров были получены всеми сотрудниками отдела автоматизации. Кроме этого, все они получили интимные письма между НОА и его подружкой. А ряд конфиденциальных писем отдела кадров был получен лицами, о которых шла речь в этих письмах, что вызвало панику среди сотрудников организации и посеяло сомнения в способности отдела автоматизации администрировать "такую простую вещь, как почтовый сервер". Когда этого инженера спрашивали о причинах возникших проблем, он говорил всем, что его в это время не было в офисе, и он не имел в это время доступа к сети по модему. Журналы модемного пула показали, что в то время, когда произошло происшествие, от этого инженера не было входящих звонков и подключений по модему через модемный пул.
Что реально можно ожидать от систем обнаружения атак?
Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному "ICE" (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях. Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки,, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак. Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример - прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% "плохих вещей". Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны. Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак - только один элемент этой системы. Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа. Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени. Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, - ложная ли это тревога или произошла реальная атака.
Что такое Internet Scanner?
Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.
Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Что такое межсетевой экран?
Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России). Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя. МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними. Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.
Что такое OPSEC?
Open Platform for Secure Enterprise Connectivity [OPSEC] - это концепция, предложенная Check Point, в основе которой лежит идея создания единой, базовой платформы для интегрирования и управления всеми аспектами информационной безопасности предприятия путем подключения различных дополнительных компонент посредством стандартных интерфейсов. Различные производители приложений в области информационной безопасности теперь могут встраивать свои системы в рамках OPSEC, используя опубликованные программные интерфейсы приложений (API), стандартные для индустрии протоколы и язык INSPECT. Будучи встроенными таким образом, все приложения могут управляться и настраиваться с административной консоли оператора безопасности с использованием общего редактора политики безопасности.
Что такое RealSecure?
Система обнаружения атак RealSecure? разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure? - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure? построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.
Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.
Достоинства системы RealSecure? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure? имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure? выгодно отличает ее от других конкурирующих продуктов.
Что такое система анализа защищенности?
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
Что такое "система обнаружения атак на сетевом уровне (NIDS)"?
Атака - это событие, при котором кто-то (либо "хакер", либо "взломщик") пытается проникнуть внутрь вашей системы или совершить по отношению к ней какие-либо злоупотребления. (Термин атака может толковаться и как "любое действие нарушителя, приводящее к реализации угрозы, путем использования уязвимостей" - примечание переводчика). Слово "злоупотребления" имеет широкое толкование, и может отражать различные события, начиная от кражи конфиденциальных данных, и заканчивая засорением спамом вашей системы (хотя, для многих из нас это является более приоритетной проблемой!). "Система обнаружения атак (Intrusion Detection System, IDS)" - это система, предназначенная для обнаружения таких атак. В контексте настоящего FAQ IDS можно разбить на следующие категории: Системы обнаружения атак на сетевом уровне (Network IDS, NIDS) контролирует пакеты в сетевом окружении и обнаружить попытки злоумышленника проникнуть внутрь защищаемой системы (или реализовать атаку типа "отказ в обслуживании"). Типичный пример - система, которая контролирует большое число TCP-запросов на соединение (SYN) со многими портам на выбранном компьютере, обнаруживая, таким образом, что кто-то пытается осуществить сканирование TCP-портов. Система обнаружения атак на сетевом уровне (NIDS) может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, или на выделенном компьютере, прозрачно просматривающем весь трафик во сети (концентратор, маршрутизатор, зонд). Отметим, что "сетевые" IDS контролируют много компьютеров, тогда как другие системы обнаружения атак контролируют только один (тот, на котором они установлены). Системы контроля целостности (System integrity verifiers, SIV) проверяют системные файлы для того, чтобы определить, когда злоумышленник внес в них изменения. Наиболее известной из таких систем является "Tripwire". Мониторы регистрационных файлов (Log-file monitors, LFM) контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Аналогично NIDS, эти системы ищут известные сигнатуры, только в файлах регистрации, а не в сетевом трафике, которые указывают на то, что злоумышленник осуществил атаку. Типичным примером является синтаксический анализатор для log-файлов HTTP-сервера, который ищет хакеров, пытающихся использовать хорошо известные уязвимости, например, используя атаку типа "phf". Обманные системы (deception systems), которые работают с псевдо-сервисами, цель которых заключается в воспроизведении хорошо известных уязвимостей для того, чтобы обмануть злоумышленников. В качестве примера можно назвать систему The Deception Tool Kit ().
Что такое система обнаружения атак?
Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.
До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.
Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.
Что такое Stateful Inspection?
Stateful inspection или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Он разработан и запатентован компанией Check Point Software Technologies.
Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды. Все большее количество производителей систем защиты используют эту технологию в своих решениях. Этот факт хорошо отражает цитата из отчета Giga Information Group в издании Gigawire за 17 марта 1997 года - "We believe that stateful inspection will be adopted by a broad segment of the computer industry as the standard way to provide gateway security in the future".
Исторически эволюция средств firewall проходила от пакетных фильтров общего назначения, затем стали появляться программы посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection.
Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали.
Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.
Пакетным фильтрам не доступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности.
Программы-посредники обрабатывают только данные уровня приложения, что зачастую, порождает различные возможности для взлома системы.
Запатентованная реализация stateful inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать только с 5 по 7 уровень.
Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Дополнительная защита обеспечивается и самому компьютеру с FireWall-1, так как данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь затем пропускает эти информационные пакеты в операционную систему компьютера шлюза, что избавляет операционную систему от несанкционированного доступа.
Реализация технологии stateful inspection компании Check Point ориентирована на работу в высокоскоростных сетях передачи данных, и по результатам различных тестов практически не вносит замедления в работу таких сетей. Основанный на виртуальном процессоре INSPECT, Check Point FireWall-1 показывает существенно лучшие результаты, чем лидирующие продукты, в основе которых лежат программы-посредники (proxy). Данное утверждение неоднократно подтверждалось различными, независимыми тестами, как, например, Data Communications, 21 марта 1997 года.
В реализации технологии stateful inspection компании Check Point используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файлы на диске. В случае же перезагрузки системы FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях. []
Что такое System Security Scanner?
Система анализа защищенности System Security Scanner? (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner? снаружи. На основе проведенных тестов система System Security Scanner? вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система System Security Scanner? может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.
Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner?, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.
Достоинства системы System Security Scanner? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner? содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Цифровая подпись
Для контроля целостности передаваемых сообщений, обеспечения подлинностии невозможности отрицания авторства технология Fortezza использует алгоритмцифровой подписи Digital Signature Algorithm (DSA) и алгоритм хешированияSecure Hash Algorithm (SHA-1), соответствующие стандарту NIST Digital SignatureStandard (DSS). Процесс генерации цифровой подписи показан на Рис.4. Рис.4. После вычисления хэш-функции сообщения, 20-байтный хэш-блок преобразуетсяс помощь алгоритма DSA в цифровую подпись сообщения размером 40 байт. Необходимообратить внимание на различия в использовании параметров P, Q и G в алгоритмахраспределений ключей KEA и цифровой подписи DSA. При проверке цифровойподписи послания Алисы Боб должен иметь доступ к значениям P, Q и G Алисы.Эти параметры должны распространяться либо в заголовке сообщения, либовместе с открытым ключем Алисы. (В целях снабжения каждого пользователянабором собственных значений P, Q и G прикладная библиотека CI_Libraryимеет соответствующие функции загрузки этих значений.) Такое различие виспользовании этих параметров связано с возможностью DSA, в отличии отKEA, поддерживать информационный обмен между пользователями различных "доменов",которые могут различаться процедурами распространения и сертификации ключей.
На момент создания технологии Fortezza не существовало правительственныхили промышленных стандартов временных меток цифровой подписи. Для "привязки"сообщений ко времени их создания применяется дополнительная процедура вычисленияхэш-функции от хэш-блока сообщения и текущего времени, взятого из надежногоисточника (например, криптокарты Fortezza). Необходимо заметить, что значенияP, Q и G, используемые алгоритмом DSA при вычислении подписи с применениемвременных меток, являются общими для всех карт Fortezza и записываютсяв память производителем криптокарты. Поскольку проверка цифровой подписив случае применения временной метки связана с необходимостью синхронизацииисточников времени, вычислением времени доставки сообщения и рядом другихсложностей, использование временных меток в технологии Fortezza не являетсяобязательным.
Цифровые водяные знаки
В современных системах формирования цифровых водяных знаков используется принцип встраивания метки, являющейся узкополосным сигналом, в широком диапазоне частот маркируемого изображения. Указанный метод реализуется при помощи двух различных алгоритмов и их возможных модификаций. В первом случае информация скрывается путем фазовой модуляции информационного сигнала (несущей) с псевдослучайной последовательностью чисел. Во втором - имеющийся диапазон частот делится на несколько каналов и передача производится между этими каналами. Относительно исходного изображения метка является некоторым дополнительным шумом, но так как шум в сигнале присутствует всегда, его незначительное возрастание за счет внедрения метки не дает заметных на глаз искажений. Кроме того, метка рассеивается по всему исходному изображению, в результате чего становится более устойчивой к вырезанию. В настоящее время компьютерная стеганография продолжает развиваться: формируется теоретическая база, ведется разработка новых, более стойких методов встраивания сообщений. Среди основных причин наблюдающегося всплеска интереса к стеганографии можно выделить принятые в ряде стран ограничения на использование сильной криптографии, а также проблему защиты авторских прав на художественные произведения в цифровых глобальных сетях. Поэтому в ближайшее время можно ожидать новых публикаций и разработок в этой области. n
Cisco IOS Firewall Feature Set
Информация предоставлена
Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д. Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.
Cisco PIX Firewall
Информация предоставлена
Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот. Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key. PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.
Client Authentication
Client Authentication позволяет администратору предоставлять привилегии доступа определенным IP адресам, пользователи, которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication, Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.
Client Authentication системы FireWall-1 не является прозрачным для пользователя, но, в тоже время, не требуется какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.
Content Security - механизм проверки информационных потоков
Обширные возможности проверки информационных потоков, предлагаемые FireWall-1, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Это позволяет защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные аплеты Java и ActiveX, что достигается благодаря точной настройке механизма контроля доступа в Интернет. Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-1, что обеспечивается благодаря единому централизованному управлению при помощи общего графического интерфейса. Помимо встроенных функций проверки информации, FireWall-1 обеспечивает открытый программный интерфейс приложения API для подключения OPSEC-совместимых приложений, проверяющих информационные потоки, других производителей. Благодаря инициативе Check Point, называемой OPSEC, организации могут свободно выбирать наиболее полно отвечающие их требованиям приложения для проверки содержимого потоков данных. Check Point проводит сертификацию таких приложений, что гарантирует полную совместимость таких приложений с продуктом FireWall-1.
Дата-центры и хостинг в Сети. Опасности и безопасность.
Михаил Елагин ()
"Если у Вас паранойя, то это еще не значит, что за Вами никто не следит"
Дата-центры - новое явление, приходящее на смену интернет-хостинг провайдерам в тех областях, где требуется повышенная надежность и высокий уровень информационной безопасности. Предоставление в аренду приложений, хранение и обработка больших объемов критически важной информации в сочетании с предоставлением доступа к такой информации через Интернет - вот основные функции дата-центров, современных "крепостей для данных". И поэтому вопросы информационной безопасности и защиты выходят для центров обработки данных на первое место.
Несмотря на постоянные сообщения о "хакерских атаках", наносящих, если верить публикациям, миллиардные убытки, все больше и больше компаний использует Интернет в своем бизнесе. Хорошо это или плохо, но это неизбежно. Бизнесу, который становится все более глобальным и распределенным, требуется единая среда, единое пространство для работы с информацией. И здесь альтернативы для Интернет на сегодняшний день нет. Сегодня Интернет - единственное действительно всеобщее пространство, позволяющее передавать, хранить, обрабатывать информацию, имеющее развитую инфраструктуру, набор дружественных протоколов и интерфейсов, и доступное, практически, всюду. Альтернативой могли бы стать сети X.25, но в силу ряда причин их развитие замерло, и сейчас они используются ограниченно, в специальных целях. При необходимости из Интернет может быть организовано взаимодействие с такими (и другими) сетями и их ресурсами. Это позволяет использовать дополнительные возможности, например, передачу и прием факсимильных, телексных и телетайпных сообщений, выход в специализированные банковские сети, пересылку электронных сообщений обычной "бумажной" почтой, передачу SMS через e-mail и электронной почты на сотовые телефоны. Интернет неизбежно становится средой, через которую обеспечивается доступ к корпоративным данным, в том числе, и к информации, являющейся критичной. Когда оперативность и удобство доступа из любой точки земного шара к большим объемам данных становится крайне важными, выбора практически не остается. И если государственные организации, такие как военные или дипломатические ведомства, могут позволить себе использовать закрытые сети, изолированные от остального мира, у коммерческих организаций этой возможности нет: это невыгодно, неудобно и нецелесообразно. В связи с этим все большее распространение получают услуги современных дата-центров, которые обеспечивают надежный хостинг и предусматривают расширенные возможности обеспечения безопасности данных. Так, например, при удаленной работе с приложениями по схеме ASP (аренда приложений, Application Service Provision) безопасность обеспечивается за счет комплексной системы защиты, включающей в себя межсетевые экраны, сканеры обнаружения вторжений, системы аудита журнальных файлов, системы анализа статистических характеристик трафика и многое другое.
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:
определение объектов, на которые могут быть направлены угрозы;
выявление существующих и возможных угроз;
определение возможных источников угрозы;
оценка рисков;
методы и средства обнаружения враждебного воздействия;
методы и средства защиты от известных угроз;
методы и средства реагирования при инцидентах.
Какие объекты в информационных системах могут подвергаться угрозам?
Собственно информация. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет". Для защиты информации от раскрытия и несанкционированного изменения используются получившие в последние годы серьезное развитие методы криптозащиты.
Оборудование и элементы инфраструктуры. Сюда относятся серверы, активное сетевое оборудование, кабельные системы, электропитание, вспомогательные системы. Для таких объектов существует угроза физического воздействия, которое может привести к повреждению объекта, потере функциональности, либо к появлению в системе чужеродных объектов, влияющих на работу системы или осуществляющих съем информации. Кроме того, существует риск похищения объектов защиты. Это не кажется смешным, особенно с учетом того, что в 2000 году усредненный ущерб от кражи лэптопов составил более 10 миллионов долларов. Для минимизации риска в этом направлении используются классические методы физической защиты (защитный периметр, пропускная система и контроль доступа персонала, видеонаблюдение, "закладки" и системы сигнализации, срабатывающие при похищении оборудования, вооруженная охрана, служба собственной безопасности и т.п.) Что касается вирусов, выжигающих оборудование, это, к счастью, пока только легенды (и, возможно, вопрос относительно далекого будущего).
Программное обеспечение. Это операционные системы, прикладные программы, сервисы. И это основные цели классических атак и основные источники уязвимостей. Атаки на такие объекты могу привести а)к краху системы (программы, сервиса), частичной или полной потере функциональности; б)выполнению атакующей стороной (или в результате внешнего воздействия) несанкционированных либо непредусмотренных действий внутри системы; в)получению контроля над системой.
Защита от атак, использующих уязвимость программного обеспечения, как правило, и является основной задачей классических систем информационной безопасности.
Персонал. Анализ возможностей физического и психологического воздействия на системного администратора выходят за рамки этой статьи. Хотя, если серьезно говорить о безопасности в целом, администратор крупной информационной системы должен являться объектом защиты. И объектом пристального внимания службы собственной безопасности. Пока остановимся на том, что целенаправленное или случайное воздействие на персонал, имеющий административные полномочия в системе, может привести к возникновению существенных рисков. Отметим также, что для отдельных систем "цена вопроса" может оказаться сопоставимой со стоимостью всей системы.
Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.
Кто и что может представлять угрозу для информации? Кто может выступать субъектом воздействия такого рода, и какие средства могут при этом применяться?
"Злоумышленник". Некто, в силу определенных мотивов осуществляющий сознательные действия, которые могут нанести ущерб. Мотивы могут быть самые разные - от спортивного интереса до обиды на работодателя. Или до исполнения служебных обязанностей сотрудником заинтересованной организации.
"Администратор". Лояльный сотрудник, имеющий полномочия суперпользователя, который в силу каких-либо обстоятельств непреднамеренно осуществляет действия, наносящие ущерб. Причиной может быть элементарное отсутствие квалификации, усталость, чрезмерная загрузка. Классический пример - команда rm -rf / * (удалить все файлы, включая вложенные директории, без подтверждения) в UNIX, ставшая темой анекдотов и страшных историй. И, тем не менее, периодически выполняемая. Администратор имеет практически неограниченные полномочия в системе, и даже если какая-то информация защищена от изменения и компрометации, очень сложно предотвратить ее уничтожение.
"Вирусы". Обобщим под этим названием все "самовоспроизводящиеся" программы, созданные человеком, но во многом живущие своей собственной жизнью, подчиняясь заложенному в них алгоритму. Это и вирусы, и черви, и распространяющиеся с ними "троянские кони". Контроль за ними со стороны создателя может быть полностью утерян (пример - сетевой червь Морриса), или частично сохранен (Code Red). В случае вирусной атаки выяснить первоначальный источник заражения и автора программы во многих случаях невозможно (по крайней мере, это выходит за рамки обязанностей и возможностей специалистов по безопасности информационных систем и провайдеров).
Разумеется, есть еще "форс-мажорные обстоятельства, то есть обстоятельства непреодолимой силы, выходящие за пределы разумного предвидения и контроля сторон, как то…." и т.п., но это вопрос скорее юридического характера. И хотя относящиеся к форс-мажорным обстоятельствам катастрофы, стихийные действия, террористические акты, действия правительства и властей и т.п. и т.д., безусловно, представляют угрозу для информации (а также для специалистов по безопасности), это тема для другой статьи.
Согласно последним данным, опубликованным Институтом Компьютерной безопасности [Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey], на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки. На втором месте - кражи лэптопов. На третьем - действия инсайдеров внутри сети. И только на четвертом месте, со значительным отрывом, идет проникновение в сеть извне.
Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на вошедших в моду хакеров и сорвавшихся с цепи сетевых червей. С другой стороны, далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик - так, для удаленных атак заявленная сумма ущерба колеблется от 100 долларов до 10 миллионов на каждую атаку, при средней величине в $500, для вирусных атак - от 100 долларов до 20 миллионов, а усредненная цифра - чуть больше 200 долларов.
При этом есть категории инцидентов, где средний ущерб действительно велик - это финансовое мошенничество и кража информации. Так, для мошенничества величина среднего ущерба оценивается почти в 4,5 тысячи долларов, при совокупном заявленном ущербе, приближающемся к 100 тысячам долларов. И эта информация подтверждается, в частности, сообщениями о банкротстве ряда фирм, занимавшихся интернет-торговлей.
Вероятность атаки, направленной на сеть хостинг-провайдера или дата-центр, велика. В первую очередь, это обуславливается большим числом размещаемых ресурсов. В случае дата-центров становится существенным и характер размещаемой информации, ее высокая цена и критичность. В этом случае нельзя исключать опасности профессионально подготовленной и проведенной атаки, направленной на получение или уничтожение информации, а также на получение контроля над ресурсом.
В случае "классического" хостинга (понимая под этим компании, специализирующиеся на виртуальном веб-хостинге) профессиональная атака маловероятна, но заведомо велико число лобовых, "brute force" атак, а также атак с использованием хорошо известных уязвимостей. Весьма вероятны атаки на почтовые серверы с целью безнаказанной передачи большого объема спама (незапрошенной информации, как правило, рекламного характера). Что касается сложных профессиональных атак, то их подготовка требует достаточно серьезных усилий (а по возможности и участия инсайдеров), что по цене окажется гораздо дороже полученного результата, даже при успешной реализации атаки.
Политика безопасности различна для разных организаций и систем. Как по разному выстраивается обеспечение безопасности жилого дома, магазина и атомной станции, точно так же по разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и дата-центра.
Дата-центры, или Центры Обработки Данных, ЦОД - новое явление, вызванное развитием сети (а также развитием бизнеса в сети). Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь, касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство существующих хостинговых компаний ориентировано на другой сегмент рынка и имеет свою специфику. В большинстве своем они не готовы к решению подобных задач. Если вернуться к нашей метафоре, то жилые дома не предназначены для размещения промышленных площадок и банков, а тем более, атомных станций.
Хостинговые компании появились раньше дата-центров и в иной экономической ситуации (как в России, так и на Западе). У большинства таких компаний основная задача - предоставление недорогих и достаточно профессиональных услуг по размещению и поддержке веб-сайтов и несложных почтовых систем. Среди клиентов оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес, и многие другие. Крупный корпоративный бизнес и организации, связанные с властью и управлением, как правило, не работает с хостинговыми компаниями именно в силу низкой защищенности и негарантированности уровня оказания услуг.
Задача снижения себестоимости во многом определяет структуру информационной системы "классического хостера". Как правило, используются "не-брендовые" серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress, и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус в отсутствии нормальной технической поддержки от вендоров (впрочем, веб-серверы Apache действительно весьма надежны и удобны).
Надо отметить, что во многих случаях "классические" хостинг-провайдеры не имеют собственного активного сетевого оборудования и собственных каналов связи, используя инфраструктуру провайдера. С одной стороны, это позволяет значительно снизить цену на услуги, с другой - лишает возможностей контроля и значительно ограничивает возможный уровень обеспечения безопасности.
В целом, общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся одним или несколькими администраторами. Отсутствие поддержки со стороны вендоров, небольшие штаты - все это, с одной стороны, заставляет системных администраторов быть всегда в хорошей форме, но с другой стороны серьезно снижает возможности и уровень защиты.
Впрочем, как мы уже говорили, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.
Дата-центры стали появляться сравнительно недавно, и их, по большому счету, нельзя считать развитием хостинговых компаний. Это совсем другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться заказчику (как правило, корпоративному). При этом одной из особенностей дата-центров является их высокая защищенность - и в смысле защиты территории, и в смысле технических средств и организационных мер безопасности.
В обеспечении информационной безопасности в дата-центрах есть своя специфика. В первую очередь - это необходимость обеспечения "прозрачного" доступа клиентам, работающим через Интернет (в том числе, и через терминальные сервисы), при соблюдении очень жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов системы.
Надо учитывать и то, что для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Соответственно, такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и, соответственно, не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима длительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.
Рассмотрим некоторые конкретные элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях.
"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.
Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).
Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.
В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.
В дата-центрах использование и аппаратных, и программных IDS является неизбежным.
Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет использования виртуальных сетей VLAN. Трехуровневую структуру ("внешняя зона", "демилитаризованная зона" и "внутренняя зона") можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Виртуальные сети (VLAN) в классическом хостинге используются значительно реже - в основном в силу иной структуры сети и упоре на виртуальный хостинг. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.
Настройка межсетевых экранов при сложной структуры сети является нетривиальной задачей. В целом, используется принцип "запрещено все, что не разрешено".
Из других методов защиты, использование которых неизбежно, следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, причем выбор программного обеспечения здесь достаточно широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то это вещь несколько сомнительная. Многие предпочитают получать почту в неизменном виде. Не всегда приятно, когда антивирусная система молча "съедает" сообщения, содержащие, скажем, сигнатуры вирусов или сообщения пользователя о возможности вирусной атаки с прикрепленным подозрительным файлом. С другой стороны, слабый "гигиенический" уровень большинства пользователей и постоянные вирусные атаки делает вирусный контроль пользовательских почтовых ящиков желательным. По крайней мере у пользователя должен быть выбор, и для разных категорий пользователей должны применяться различные типы реагирования.
Анализ журнальных файлов является неотъемлемой частью системы безопасности независимо от класса и уровня компании, и на нем нет смысла останавливаться.
Контроль доступа и идентификация пользователей - тоже неотъемлемая часть системы безопасности, постоянно обсуждаемая и описываемая. Однако стоит остановиться на контроле доступа администраторов и операторов, имеющих административные полномочия в системе. Постоянной проблемой является генерация и смена паролей суперпользователей. Из соображений безопасности их следует менять действительно часто. Что либо не происходит, либо пароли root оказываются записанными на всех доступных поверхностях. Неплохим выходом является использование современных средств идентификации и контроля доступа. Собственно, реально используется несколько основных методов, в частности, на основе бесконтактных элементов памяти ("таблеток") Dallas Semiconductor, на основе смарт-карт (Schlumberger и аналогичных), а также системы биометрического контроля.
Последние (для случая центра управления сетью дата-центра) кажутся предпочтительней, так как палец или глаз потерять сложнее, чем брелок с элементом памяти. И есть гарантия, что в систему входит именно уполномоченный пользователь, а не некто, нашедший ключ.
Из систем биометрического контроля наиболее распространены сканеры отпечатка пальца (Compaq Fingerprint, Identix, "мыши" и "хомяки"-"Hamster"). Эти системы, как правило, недороги, многие по цене не превышают 100 долларов. Сканеры радужной оболочки глаза пока дороги и недостаточно надежны.
Разумеется, нет смысла перечислять все технические методы обеспечения безопасности.
Но следует иметь в виду, что только технических средств, какими бы мощными они не были, недостаточно для поддержания даже минимального уровня безопасности.
Некорректные действия администратора могут нанести ущерб больший, чем все вирусные атаки. Ошибка пользователя, самостоятельно администрирующего свои приложения, может свести "на нет" все усилия по безопасности. Логин "demo" и пароль "test" встречались и встречаются до удивления часто. Также, как и пароли "sdfgh" и "54321").
Что еще характерно для центров обработки данных - это наличие разработанной политики безопасности, жесткая регламентация и разработанная система документации.
Жесткая регламентация действий персонала, в том числе (и в первую очередь) системных администраторов, конечно, имеет и свои минусы, в частности, снижает оперативность при необходимости проведения нестандартных действий. С другой стороны, имеется гарантия исполнения действий предписанных и необходимых. При этом увольнение специалиста с административными полномочиями не влияет на нормальное функционирование и не снижает общего уровня безопасности. Кроме того, наличие системы собственной безопасности позволяет минимизировать ущерб от возможных действий персонала, имеющего административные полномочия в системе.
Еще один важный момент - корпоративная политика и этика. В дата-центрах работает большое число людей. И от них зависят очень многие вопросы, касающееся безопасности. И если администраторы и технический персонал преданы организации и не станут инсайдерами, работающими на конкурента - это уже наполовину обеспеченная безопасность системы.
Важным моментом является реагирование на инциденты. Клиенты дата-центра должны быть максимально защищены, и в случае реализации угроз должны приниматься необходимые и адекватные меры.
Разумеется, не всегда легко определить истинный источник угрозы, но в большинстве случаев это возможно. И нельзя пренебрегать административным реагированием. Во-первых, существует сетевой этикет и общепринятые правила, которых придерживается подавляющее большинство провайдеров. И если они получают доказательные материалы, подтверждающие атаку из их сети, то, как правило, реагируют жестко и адекватно. Но только в том случае, если им предоставляются действительно веские доказательства. Кроме того, в большинстве развитых государств существуют организации или подразделения, занимающиеся борьбой с преступлениями в Сети. Как правило, они реагируют в том случае, если преступление совершено на их территории или ущерб нанесен их резидентам. Но с учетом ужесточения политики контроля за Интернет в связи с угрозой терроризма можно не сомневаться, что в случае действительно серьезных событий необходимое расследование будет проведено.
В любом случае служба информационной безопасности дата-центра имеет возможность административного реагирования на инциденты. При определенной настойчивости, знании структуры международных и национальных органов сетевой и общей безопасности, знании законодательства шанс на адекватную реакцию весьма велик. Стоит помнить, что безопасность - это не только технические средства и умения, но и сбор информации, анализ по многим критериям, синтез, и, разумеется, искусство.
В качестве примера можно привести статистику IDS (детектора вторжений), контролирующего одну из сетей проекта DATA FORT. За четыре дня октября было зафиксировано более 50000 сигнатур атак. Основную массу внесли "черви" Nimda (более 40000 обнаруженных сигнатур), причем основная масса атак шла из одного источника- из сети немецкого ISP-провайдера. Атака прекратилась после уведомления администраторов сети. Так как Nimda использует известные уязвимости, которые были закрыты администраторами DATA FORT сразу после их обнаружения, никакого ущерба вирусная атака не нанесла.
Из других попыток вторжения зафиксировано две попытки использования очень старых уязвимостей в FTP и три атаки на почтовые системы (опять-таки попытки использования хорошо известных уязвимостей). Разумеется, безрезультатных. В этих случаях административные меры не принимались (слишком любительский характер носили эти попытки).
Кроме того, зафиксировано 149 попыток определения версии DNS (источники- в самых разных сетях), плюс 40 попыток сканирования портов (опять-таки различные источники атаки). В целом ничего явно противозаконного в таком сканировании нет - просто попытки, не утруждая себя, отыскать слабое место в сети. Но зафиксированные источники сканирования занесены в базу данных как потенциально угрожающие.
Все смоделированные атаки (сканирование сети, "лобовые атаки", атаки на уязвимости IIS) были обнаружены и правильно идентифицированы.
Какие угрозы могут появиться в будущем?
Во первых, писать "вирусоподобные" программы становится все проще, с другой стороны, они становятся мобильными и могут функционировать на любой платформе. Многие новые "черви" и "троянские кони" не имеют явной разрушительной функции, а предназначены в первую очередь для получения контроля над пораженным узлом - часто для организации массовых распределенных атак и создания "боевых сетей".
Распределенные атаки становятся все более частыми и опасными. Так, DDoS (распределенные атаки типа "отказ в обслуживании") представляют собой новую и весьма серьезную угрозу. Такая атака является многоуровневой, и атаку осуществляют "зомби" - троянские программы, функционирующие на пораженных компьютерах, и управляемые мастер-программами, также работающими на "взломанных" компьютерах. В результате оказывается практически невозможно отследить реальный источник угрозы, "центр управления" атакой. Кроме того, защититься от атаки, идущей одновременно с сотен и тысяч источников, крайне затруднительно.
Распределенными становятся и вычисления. Более того, такие вычисления могут производиться и без ведома владельцев компьютеров. Прецеденты уже есть. И хотя в известных случаях цели была вполне мирными (ресурсы компьютеров использовались для поиска сигналов внеземных цивилизаций), никто не гарантирует, что красивые скринсейверы на десятках тысяч машин не будут на самом деле заниматься криптографическим анализом в чьих-то интересах.
Еще одна интересная тенденция - попытки обхода криптозащиты с помощью косвенных методов. Реальный пример был опубликован совсем недавно. И хотя подобная попытка "взлома" (а точнее, обхода) защищенного протокола SSH за счет анализа временных промежутков между посылками выглядит скорее курьезом, она может оказаться "тенью грядущего зла". Увеличение мощности компьютеров и возможность организации параллельных распределенных вычислений в сочетании с современными математическими методами (в частности, с корреляционными методами анализа, использованием нейронных сетей) может привести к резкому падению защищенности информации.
И еще одно. Вероятность войн в киберпространстве становится все более высокой. И, как показали недавние события в США, противник может быть анонимным и сильным. При этом информационные системы крупных корпораций и дата-центры могут стать мишенью номер один. В этом случае придется столкнутся с массированными и хорошо подготовленными атаками, противостоять которым сможет только хорошо продуманная и отлаженная система защиты.
Сегодня сетевые дата-центры являются первопроходцами в создании именно таких, комплексных систем безопасности в отношении своих многочисленных клиентов.
Об авторе:
Михаил Ростиславович Елагин - специалист по регламентации и сетевой координатор проекта DATA FORT корпорации . Занимается разработкой регламентирующей документации, общими вопросами информационной безопасности, взаимодействием с координирующими организациями Интернет.
Database Scanner
Проблемы, связанные с безопасностью баз данных, идентифицирует ПО Database Scanner. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности; дополнительно выявляется соответствие СУБД требованиям перехода к 2000 г. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей. Пока Database Scanner поддерживает СУБД Microsoft SQL Server и Sybase Adaptive Server; работу с другими СУБД (Oracle, Informix) планируется обеспечить в сентябре 1999 г. Все системы анализа защищенности компании ISS используют похожие методы работы и интерфейс. Различие состоит в характере обнаруживаемых уязвимых мест (их общее число для всех четырех систем превышает 1600).
Действительно ли этот вариант трансляции полностью динамичный?
Этот вопрос достаточно част, и ответ на него утвердительный. Действительно, механизм, реализованный в Check Point FireWall-1, позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.
Хотя нам известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных. Для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.
Декабрь
Видный гражданский ученый,
работавший на Канадское министерство национальной обороны, был
арестован по обвинению в торговле детской порнографией после того,
как полиция обнаружила в его каталогах на правительственных компьютерах
большое количество противозаконных материалов. Какие еще примеры
нужны, чтобы убедить руководителей в том, что каждая организация
нуждается в тщательно проработанной, ясной политике, регламентирующей
использование корпоративных Интернет-ресурсов? ("Globe and
Mail", 10 декабря).
Министр здравоохранения
канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку
после того, как правительство решило расследовать действия его
прежнего помощника по коммуникациям, передавшего в газету "Globe
and Mail" конфиденциальную информацию. ("Globe and Mail",
10 декабря).
Телефонного оператора
из Австралии обвинили во вторжении в телефонную линию радиостанции
во время соревнования за приз размером в 40 тысяч американских
долларов. Таким путем оператор обеспечил себе "счастливый"
10-й номер среди позвонивших. В процессе расследования, проведенного
полицией, вскрылись еще две аналогичные махинации, осуществленные
им ранее. (UPI, 10 декабря).
Двое молодых людей признали
себя виновными в шалости на почве корпоративного шпионажа. Шутники
послали в адрес компании Owens Corning безграмотное, с многочисленными
ошибками письмо, запрашивая 1000 долларов в обмен на секретную
информацию, украденную у конкурента - PPG Industries. Patrick
Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов
опытных образцов машин. Он имел доступ во все кабинеты исследовательского
центра PPG и, как предполагают, выкрал списки клиентов, проекты,
секретные формулы, спецификации продуктов и видеозаписи работы
нового оборудования. Благодаря помощи со стороны предполагаемого
покупателя, ФБР смогло арестовать преступников. По иронии судьбы,
два года назад такое же благородство пришлось продемонстрировать
теперешней жертве. Тогда руководители PPG Industries получили
письмо с предложением приобрести секреты, украденные у Owens Corning;
те шпионы также были пойманы ФБР. Обе компании настаивают, что
приобретать информацию, украденную у конкурентов, - глупо и незаконно.
(AP, 11 декабря).
Согласно распространенному
во Флориде докладу, предполагаемые затраты на поиск и исправление
ошибок "двухтысячного года" в производственных системах
(написанных по большей части на Коболе) составляют от 88 до 120
миллионов долларов. Разумеется, ошибки должны быть исправлены
до конца 1999 года. (UPI, 12 декабря).
Зубной врач из Сан-Диего
получил более 16 тысяч экземпляров новой налоговой формы штата
Калифорнии. Виновницей является программа управления почтовой
рассылкой. ().
В субботнее утро 14 декабря,
в 00:20, началась атака против доступности сервера WebCom (Санта-Круз).
Атакующий устроил "SYN-наводнение", посылая по 200 пакетов
в секунду. В результате, во время пикового периода продаж, Web-страницы
сотен фирм оказались блокированными на 40 часов. Источник атаки
проследили до некоего места в Британской Колумбии; ФБР и канадская
полиция продолжают поиск преступников. Перед нами еще один случай,
ставший следствием безответственной публикации в журналах "2600"
и "Phrack" подробных инструкций по организации "SYN-наводнения".
Он хитер и коварен. Он неуловим. Он опасен и ужасен на вид. Он
бесплотный дух розовато-лиловых тонов.
"Goodtimes"
заразит Вас столбняком. Он запрет туалет изнутри. Он замесит в
Вашей ванне бетон. Он оставит бекон поджариваться на плите, а
Вас в это время заставит бегать за школярами с двустволкой."
Детектирование и защита
Простейшим сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из внешнего мира. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако не стоит обольщаться - атака может быть и изнутри Вашей сети. В случае использования более интеллектуальных средств контроля за сетью администратор может отслеживать (в автоматическом режиме) пакеты от систем, которые в находятся в недоступном состоянии. Впрочем, что мешает крэкеру имитировать работу системы B ответом на ICMP-пакеты? Какие способы существуют для защиты от IP-spoofing? Во-первых, можно усложнить или сделать невозможным угадывание sequence number (ключевой элемент атаки). Например, можно увеличить скорость изменения sequence number на сервере или выбирать коэффициент увеличения sequence number случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм). Если сеть использует firewall (или другой фильтр IP-пакетов), следует добавить ему правила, по которым все пакеты, пришедшие извне и имеющие обратными адресами из нашего адресного пространства, не должны пропускаться внутрь сети. Кроме того, следует минимизировать доверие машин друг другу. В идеале не должны существовать способа, напрямую попасть на соседнюю машину сети, получив права суперпользователя на одной из них. Конечно, это не спасет от использования сервисов, не требующих авторизации, например, IRC (крэкер может притвориться произвольной машиной Internet и передать набор команд для входа на канал IRC, выдачи произвольных сообщений и т.д.). Шифрование TCP/IP-потока решает в общем случае проблему IP-spoofing'а (при условии, что используются криптографически стойкие алгоритмы). Для того, чтобы уменьший число таких атак, рекомендуется также настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному пространству. Это защитит мир от атак из внутренней сети, кроме того, детектирование подобных пакетов будет означать нарушение внутренней безопасности и может помочь администратору в работе.
Есть несколько путей. Например, можно реализовать TCP/IP-стэк, которые будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данному случае мы не застрахованы от крэкера, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если крэкер не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию. Для более глубокого ознакомления с этой атакой рекомендуется обратиться к (CERT).
Динамическая мода
Динамическая мода трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.
Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.
Для кого и о чем эта книга
Книга предзначается в первую очередь для тех, кто интересуется не только теоретическими аспектами криптологии - как криптографии, так и криптоанализа, - но и практическими реализациями используемых в них алгоритмов и методов. В ней уделено очень много внимания вопросам компьютерного криптоанализа и логике программирования криптосистем. Материал изложен таким образом, что он будет полезен и для неподготовленного читателя, и для высококвалифицированного специалиста, желающего расширить свой кругозор и по-новому взглянуть на криптографический аспект систем информационной защиты. Речь в книге не идет о каких-то конкретных программных продуктах, наоборот - прочтя книгу, подготовленный читатель будет способен самостоятельно создавать программное обеспечение, содержащее криптографические алгоритмы. Однако для этого ему все же пригодятся навыки программиста и математика, хотя бы на начальном уровне. Кроме стандартных и популярных средств одноключевого шифрования, в книге рассматриваются нестандартные алгоритмы, которые могут использоваться на практике, а также оригинальные и необычные подходы к шифрованию и криптоанализу, что может значительно расширить кругозор даже опытного специалиста. Тем, кто интересуется созданием собственных шифросистем, будет также интересна и полезна информация, связанная с современными требованиями к сертификации и лицензированию средств шифрования. Таким образом, книга будет чрезвычайно полезной как для студентов вузов соответствующих специальностей, так и просто интересующихся компьютерными технологиями, а также для специалистов в области обеспечения информационной безопасности и разработки соответствующих программных средств. Книга содержит множество математических описаний шифров и может быть полезна в качестве учебного пособия.
Дополнительная информация
Дополнительная информация о компьютерных атаках может быть найдена в статье .
Дополнительные инфоpмационные матеpиалы пpо безопасность веб-сеpвеpов:
Дpугие бюллетени:
Domino 4.6 может позволять несанкциониpованную запись на диски удаленного сеpвеpа и в файлы конфигуpации.
В Excite 1.1 файлы с зашифpованными паpолями могут быть доступными по записи всем пользователям. Аpхивы списка pассылки BUGTRAQ: "Ошибки, связанные с безопасностью в Excite for Web Servers 1.1" по адpесу
В ColdFusion Application Server может быть осуществлен несанкциониpованный доступ к данным на веб-сеpвеpе.
Системы на основе Windows
Бюллетени CIAC:
I-024: Пpоблемы с безопасностью CGI в EWS1.1
I-025A: Уязвимые места в веб-сеpвеpах на основе Windows NT, связанные с доступом к файлам
Бюллетени Microsoft могут быть найдены на стpанице "Microsoft Security Advisor" по адpесу
Указанные ниже бюллетени пpиведены в списке "Последние бюллетени по безопасности" и "Аpхивы бюллетеней по безопасности":
MS99-013: Разpаботано pешение пpоблемы, связанной с уязвимостью пpогpамм пpосмотpа файлов. (Май 7, 1999) MS99-012: Доступно обновление MSHTML для Internet Explorer. (Апpель 21, 1999) MS99-011: Испpавление для уязвимости "DHTML Edit" доступно. (Апpель 21, 1999) MS98-019: Испpавление для уязвимости IIS "GET" доступно. (Декабpь 21, 1998) MS98-016: Доступно обновление для пpоблемы "Dotless IP Address" в Microsoft Internet Explorer 4. (Октябpь 23, 1998) MS98-011: Доступно обновление для уязвимости JScript "Window.External" в Microsoft Internet Explorer 4.0. (Август 17, 1998) MS98-004: Неавтоpизованный доступ чеpез ODBC к удаленным сеpвеpам с данными с помощью Remote Data Services и Internet Information Systems. (Июль 15, 1998)
Дpугие бюллетени:
"Уязвимость в pасшиpениях ISAPI позволяет выполнять пpогpаммы как системный пользователь" по адpесу:
Кэшиpованные паpоли в Internet Explorer 5. 0 могут быть использованы дpугим пользователем.
Internet Explorer (3.01, 3.02, 4.0, 4.01) может позволять фальсифициpовать фpеймы для обмана пользователя Microsoft Knowledgebase Article ID: Q167614: "Доступно обновление для пpоблемы "фальшивый фpейм""
Системы, использующие NCSA HTTPD и Apache HTTPD
Бюллетени CIAC:
G-17: Уязвимости в пpимеpах CGI для HTTPD
G-20: Уязвимиости в веб-сеpвеpах NCSA и Apache
Дpугие бюллетени:
Атака на блокиpование Apache -- Apache httpd (1.2.x, 1.3b3)
"Ошибка в HTTP REQUEST_METHOD"
Системы, использующие Netscape Navigator
Бюллетени CIAC:
H-76: Уязвимость Netscape Navigator
I-082: Уязвимость веб-сеpвеpов Netscape на HP-UX
I-040: Уязвимость Netscape Navigator в SGI
Дpугие бюллетени:
"Чтение локальных файлов в Netscape Communicator 4.5" по адpесу
Netscape Navigator может позволять фальсифициpовать фpеймы для обмана пользователя Бюллетень по безопасности Netscape: "Уязвимость, связанная с фальсификацией фpейма"
Системы, использующие скpипты в cgi-bin
Бюллетени CIAC:
I-013: Уязвимость, связанная с пеpеполнением буфеpа в Count.cgi
I-014: Уязвимость в CGI-скpиптах в GlimpseHTTP и WebGlimpse
Дpугие бюллетени:
Пpогpаммы webdist.cgi, handler и wrap в IRIX
"Выпущен Nlog 1.1b - ошибки в безопасности испpавлены"
CIAC также опубликовал документ, названный "Как защитить Internet Information Server", в котоpом есть глава пpо защиту веб-сеpвеpов
Имеются также дpугие pесуpсы, котоpые CIAC pекомендует пpочитать. Во-пеpвых, это публикация SANS и Института интpанетов, выпущенная после того, как был взломан веб-сеpвеp министеpства юстиции США - "Двенадцать ошибок, котоpых нужно избегать пpи администpиpовании веб-сеpвеpа." Этот документ может быть найден по адpесу:
.
SANS также опубликовал документ, названный "14 шагов для того чтобы избежать беды с вашим веб-сайтом."
Дpугой веб-сайт, котоpый вы должны посетить - это .
Там находится ЧаВО (FAQ) по пpоблеме безопасности веб-сеpвеpа, котоpый ведется WWW-консоpциумом - . У них есть отдельные pазделы для каждой опеpационной системы, используемой сегодня на веб-сеpвеpах:
.
Дополнительные способы противодействия
Здесь уже идет чистое описание всяких возможностей по противодействию. Даются общие вводные, ведь защита может быть эффективной только тогда, когда каждый ее модуль написан на совесть с использованием различных ухищрений. То есть все рецепты, о которых говорилось выше, должны в той или иной форме присутствовать в любой системе. Использовать для хранения данных защиты системные ресурсы Windows: дополнительную память, выделяемую для параметров окон и локальные хранилища потоков. Суть способа состоит в нестандартном использовании стандартных областей, скажем, хранить ключи, пароли… и т.п., совсем не там, где их будут искать при взломе в первую очередь. Использовать операции сравнения нестандартными способами, во избежание их явного присутствия. Для сравнения есть определенные инструкции микропроцессора, о которых знают и разработчики и хакеры. А если попытаться использовать нестандартные виды сравнения, то можно слегка запутать хакера, ожидающего стандартного ответа. Избегать обращений к переменным, относящимся к защите напрямую. То есть использовать любые косвенные способы доступа к специальным областям. Использовать метод "зеркалирования" событий, то есть применять нестандартные действия на стандартные вызовы. Об этом говорилось выше. Использовать для шифрования надежные, проверенные временем алгоритмы и т. д. Здесь перечислены только основные подходы, даже не основные, а общеизвестные. А об оригинальных разработках мы узнаем позже, как только хакеры смогут взломать очередную уникальную защиту.
См. также:
Дополнительные возможности
В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной
лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и
не позволяют организовать приватный канал с межсетевого экрана других производителей. При
общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет
решать задачи взаимной аутентификации и смены ключей весьма эффективно.
Новое название Black Hole - SecurIT FIREWALL.
Достоинства систем обнаружения атак на сетевом уровне
IDS сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак на системном уровне. В действительности, многие покупатели используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости и своевременного реагирования. Ниже представлены основные причины, которые делают систему обнаружение атак на сетевом уровне наиболее важным компонентом эффективной реализации политики безопасности.
Низкая стоимость эксплуатации. IDS сетевого уровня необходимо устанавливать в наиболее важных местах сети для контроля трафика, циркулирующего между многочисленных систем. Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне.
Обнаружение атак, которые пропускаются на системном уровне. IDS сетевого уровня изучают заголовки сетевых пакетов на наличие подозрительной или враждебной деятельности. IDS системного уровня не работают с заголовками пакетов, следовательно, они не могут определять эти типы атак. Например, многие сетевые атаки типа "отказ в обслуживании" ("denial-of-service") и "фрагментированный пакет" (TearDrop) могут быть идентифицированы только путем анализа заголовков пакетов, по мере того, как они проходят через сеть. Этот тип атак может быть быстро идентифицирован с помощью IDS сетевого уровня, которая просматривает трафик в реальном масштабе времени. IDS сетевого уровня могут исследовать содержание тела данных пакета, отыскивая команды или определенный синтаксис, используемые в конкретных атаках. Например, когда хакер пытается использовать программу Back Orifice на системах, которые пока еще не поражены ею, то этот факт может быть обнаружен путем исследования именно содержания тела данных пакета. Как говорилось выше, системы системного уровня не работают на сетевом уровне, и поэтому не способны распознавать такие атаки.
Для хакера более трудно удалить следы своего присутствия. IDS сетевого уровня используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, хакер не может удалить следы своего присутствия. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с журналами регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.
Обнаружение и реагирование в реальном масштабе времени. IDS сетевого уровня обнаруживают подозрительные и враждебные атаки ПО МЕРЕ ТОГО, КАК ОНИ ПРОИСХОДЯТ, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем IDS системного уровня. Например, хакер, инициирующий атаку сетевого уровня типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен IDS сетевого уровня, посылающей установленный флаг Reset в заголовке TCP-пакета для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого хоста. IDS системного уровня, как правило, не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей IDS системного уровня. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.
Обнаружение неудавшихся атак или подозрительных намерений. IDS сетевого уровня, установленная с наружной стороны межсетевого экрана (МСЭ), может обнаруживать атаки, нацеленные на ресурсы за МСЭ, даже несмотря на то, что МСЭ, возможно, отразит эти попытки. Системы системного уровня не видят отраженных атак, которые не достигают хоста за МСЭ. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.
Независимость от ОС. IDS сетевого уровня не зависят от операционных систем, установленных в корпоративной сети. Системы обнаружения атак на системном уровне требуют конкретных ОС для правильного функционирования и генерации необходимых результатов.
Достоинства систем обнаружения атак системного уровня
И хотя системы обнаружения атак системного уровня не столь быстры, как их аналоги сетевого уровня, они предлагают преимущества, которых не имеют последние. К этим достоинствам можно отнести более строгий анализ, пристальное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения.
Подтверждают успех или отказ атаки. Поскольку IDS системного уровня используют журналы регистрации, содержащие данные о событиях, которые действительно имели место, то IDS этого класса могут с высокой точностью определять - действительно ли атака была успешной или нет. В этом отношении IDS системного уровня обеспечивают превосходное дополнение к системам обнаружения атак сетевого уровня. Такое объединение обеспечивает раннее предупреждение при помощи сетевого компонента и "успешность" атаки при помощи системного компонента.
Контролирует деятельность конкретного узла. IDS системного уровня контролирует деятельность пользователя, доступ к файлам, изменения прав доступа к файлам, попытки установки новых программ и/или попытки получить доступ к привилегированным сервисам. Например, IDS системного уровня может контролировать всю logon- и logoff-деятельность пользователя, а также действия, выполняемые каждым пользователем при подключении к сети. Для системы сетевого уровня очень трудно обеспечить такой уровень детализации событий. Технология обнаружения атак на системном уровне может также контролировать деятельность, которая обычно ведется только администратором. Операционные системы регистрируют любое событие, при котором добавляются, удаляются или изменяются учетные записи пользователей. IDS системного уровня могут обнаруживать соответствующее изменение сразу, как только оно происходит. IDS системного уровня могут также проводить аудит изменений политики безопасности, которые влияют на то, как системы осуществляют отслеживание в своих журналах регистрации и т.д.
В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменения в ключевых системных файлах или исполняемых файлах. Попытки перезаписать такие файлы или инсталлировать "троянских коней" могут быть обнаружены и пресечены. Системы сетевого уровня иногда упускают такой тип деятельности.
Обнаружение атак, которые упускают системы сетевого уровня. IDS системного уровня могут обнаруживать атаки, которые не могут быть обнаружены средствами сетевого уровня. Например, атаки, осуществляемые с самого атакуемого сервера, не могут быть обнаружены системами обнаружения атак сетевого уровня.
Хорошо подходит для сетей с шифрованием и коммутацией. Поскольку IDS системного уровня устанавливается на различных хостах сети предприятия, она может преодолеть некоторые из проблем, возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием.
Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки IDS сетевого уровня. Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) трафика на коммутаторах, но эти методы не всегда применимы. Обнаружение атак на системном уровне обеспечивает более эффективную работу в коммутируемых сетях, т.к. позволяет разместить IDS только на тех узлах, на которых это необходимо. Определенные типы шифрования также представляют проблемы для систем обнаружения атак сетевого уровня. В зависимости от того, где осуществляется шифрование (канальное или абонентское), IDS сетевого уровня может остаться "слепой" к определенным атакам. IDS системного уровня не имеют этого ограничения. К тому же ОС, и, следовательно, IDS системного уровня, анализирует расшифрованный входящий трафик.
Обнаружение и реагирование почти в реальном масштабе времени. Хотя обнаружение атак на системном уровне не обеспечивает реагирования в действительно реальном масштабе времени, оно, при правильной реализации, может быть осуществлено почти в реальном масштабе. В отличие от устаревших систем, которые проверяют статус и содержания журналов регистрации через заранее определенные интервалы, многие современные IDS системного уровня получают прерывание от ОС, как только появляется новая запись в журнале регистрации. Эта новая запись может быть обработана сразу же, значительно уменьшая время между распознаванием атаки и реагированием на нее. Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распознавания ее системой обнаружения атак, но во многих случаях злоумышленник может быть обнаружен и остановлен прежде, чем нанесет какой-либо ущерб.
Не требуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующую сетевую инфраструктуру, включая файловые сервера, Web-сервера и другие используемые ресурсы. Такая возможность может сделать IDS системного уровня очень эффективными по стоимости, потому что они не требуют еще одного узла в сети, которому необходимо уделять внимание, осуществлять техническое обслуживание и управлять им.
Низкая цена. Несмотря на то, что системы обнаружения атак сетевого уровня обеспечивают анализ трафика всей сети, очень часто они являются достаточно дорогими. Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны, системы обнаружения атак на системном уровне стоят сотни долларов за один агент и могут приобретаться покупателем в случае необходимости контролировать лишь некоторые узлы предприятия, без контроля сетевых атак.
Другие источники
Страница Michael Sobirey's Intrusion Detection Systems () Страница Purdue COAST IDS ()
Единый формат базы уязвимостей
В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).
Если у меня есть МСЭ, нужно ли мне обнаружение атак?
Да, по многим причинам. Некоторые из причин: Вы никогда не узнаете, когда ваш МСЭ неправильно сконфигурирован, и что хакеры проникли в вашу сеть, если у вас нет системы обнаружения атак. Вы никогда не узнаете, когда хакеры пытаются атаковать вашу сеть (за исключением редких случае - примечание переводчика). Большинство корпоративных атак идут с внутренней стороны сети
Если у меня есть система обнаружения атак, нужен ли мне МСЭ?
Несомненно. Каждой корпорации требуется хорошее управление, одна точка входа в сеть. Хакеры всегда запускают автоматические программы (типа SATAN) на сеть Internet в поисках уязвимостей. Без МСЭ эти автоматические программы могут обнаруживать и незаметно использовать дыры.
ЕСЛИ ВАШ ВЕБ-САЙТ БЫЛ ВЗЛОМАН:
CIAC pекомендует следующие шаги пpи пpовеpке веб-сеpвеpа:
Установить ВСЕ испpавления, связанные с безопасностью, как для самого веб-сеpвеpа, так и для опеpационной системы.
Удалить ВСЕ ненужные файлы, такие как phf из диpектоpии со скpиптами. Удалить стандаpтные диpектоpии с документами, поставляемые с веб-сеpвеpом (напpимеp, с IIS и ExAir).
Пpовеpить ВСЕ логины пользователей на веб-сеpвеpе и удостовеpиться в том, что они имеют тяжело угадываемые паpоли.
Пpовеpить ВСЕ сеpвисы и откpытые поpты на веб-сеpвеpе, чтобы удостовеpиться в том, что вместо них не установлены пpогpаммы-тpоянские кони.
Пpовеpить, нет ли подозpительных файлов в диpектоpиях /dev, /etc и /tmp.
Февраль
14 февраля агентство новостей
"Новый Китай" сообщило, что все китайские пользователи
Интернет должны будут впредь регистрироваться в компетентных органах.
Это сообщение обозначило начало процесса официального закрытия
доступа в Интернет для граждан Китайской Народной Республики.
В сентябре в Китае запретили доступ более чем к ста Web-серверам,
включая "Wall Street Journal", "Washington Post"
и CNN. К концу 1996 года китайские пользователи были официально
ограничены сетью, которая по сути представляет собой Интранет
с фильтрацией международного трафика через национальные межсетевые
экраны.
В средствах массовой информации,
не имеющих технической специализации, появилась куча историй о
предполагаемой опасности заражения вирусом, получившим название
Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии
специалистов о чрезвычайно низкой вероятности поражения этим вирусом
были буквально сметены нахлынувшей волной слухов, что привело
к панике среди неквалифицированных пользователей персональных
компьютеров и к всеобщему, хотя и необоснованному, недоверию к
антивирусным продуктам.
Федеральный судья в Филадельфии
вынес частичное временное ограничивающее решение, запрещающее
проведение в жизнь положения закона "О благопристойности
коммуникаций", касающееся непристойностей. Это решение стало
первой победой в юридической борьбе против закона "О благопристойности
...", принятого в конце 1995 года и встреченного всеобщим
негодованием, поскольку по мнению многих он противоречит Первой
поправке к конституции США, гарантирующей свободу слова. Детали
данного судебного дела и последующего успеха в запрещении проведения
в жизнь закона "О благопристойности ..." можно найти
на Web-сервере и по адресу . В декабре дело передано в Верховный суд, слушания
назначены на март 1997 года.
Представители компании
Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax
и MacInTax) были ошибки. Компания поместила исправления на свой
Web-сервер, предложила консультационную поддержку и пообещала
уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных
ее программистами. Этот пример полезен для всех теоретиков и практиков
контроля качества, когда нужно проиллюстрировать затраты и выгоды,
связанные с инвестированием более половины средств, выделяемых
на разработку программного обеспечения, в контроль качества.
Профессор Ed Felten и
его дипломники из Принстонского университета продолжали анализировать
слабости в безопасности Java-систем (подробности см. по адресу
). В ноябре David Martin <>
из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan
<> и Avi Rubin <>
(оба из компании Bellcore) указали (см. ), что Java-аплеты
могут атаковать межсетевые экраны изнутри. Их статью можно найти
по адресу .
Peter Neumann, ведущий
телеконференции RISKS, рассказал еще об одном случае кибервандализма
(см. также ). Информационная система небольшой компании
BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород
Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой
атаки, в процессе которой некто, действовавший под видом системного
администратора, уничтожил данные на двух компьютерах, после чего
остановил работу системы. Внеплановый простой продлился около
12 часов. Старые удаленные файлы удалось восстановить, однако
файлы, созданные в течение нескольких последних дней, оказались
утерянными. Перед нами еще один случай, иллюстрирующий важность:
защиты Web-серверов
от несанкционированных изменений;
проводимого достаточно
часто резервного копирования.
29 февраля, как сообщил
в один из корреспондентов, он обнаружил в своем электронном
почтовом ящике присланные из разных мест письма со следующими
датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70
и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000
Ресурсы, адресуемые через URI, определяют метод доступа, например, GET, POST и так далее, сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Возможно также размещение этих описаний во внешнем файле.
FireWall-1 сертифицирован Гостехкомиссией
8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.
Firewall - не панацея
Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания. Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа. Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall). На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки. В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.
Форматы отчетов
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
текстовом;
DIF (Data Interchange Format);
HTML;
Microsoft Word.
В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:
Lotus 1-2-3;
RTF;
CSV;
Microsoft Excel;
и многие другие.
Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.
Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:
Character-separated values;
Comma-separated values (CSV);
Crystal Report;
DIF (Data Interchange Format);
Excel 2.1;
Excel 3.0;
Excel 4.0;
Excel 5.0;
Excel 5.0 (расширенный);
HTML 3.0;
HTML 3.2 (стандартный);
HTML 3.2 (расширенный);
Lotus 1-2-3 (WK1);
Lotus 1-2-3 (WK3);
Lotus 1-2-3 (WKS);
различные форматы баз данных через драйвер ODBC;
Rich Text Format (RTF);
текстовый;
Microsoft Word;
и многие другие.
Кроме того, система RealSecure? дополнительно позволяет:
сохранять отчеты на жестком диске;
сохранять отчеты в базе данных Lotus Notes;
сохранять отчеты в папке Microsoft Exchange;
пересылать отчеты при помощи механизма Microsoft Mail (MAPI).
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
текстовом;
HTML;
CSV;
и многие другие.
Функциональные требования
Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.
Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.
Функционирование под управлением многих операционных систем
Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:
Windows NT;
Windows 95;
SunOS;
Solaris;
HP UX;
AIX;
Linux.
Система System Security Scanner? позволяет проводить анализ защищенности следующих операционных систем:
Windows NT;
Windows 95;
Windows 98;
SunOS;
Solaris;
HP UX;
AIX;
IRIX;
Linux.
Функционирование системы Internet Scanner
Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.
Функционирование системы RealSecure
Система RealSecure? может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure? не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.
Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure? одинаково хорошо поддерживает оба этих варианта.
Система RealSecure? не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.
Модули слежения системы RealSecure? необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.
Функционирование системы System Security Scanner
Система System Security Scanner? выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.
Где должна быть размещена система
Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через "черный ход", например, через модем. Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит "свободно" контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от "плохих парней". Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, "законных" для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике - примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения - невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов - примечание переводчика). Клаус: Снаружи межсетевого экрана - это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана - тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети. Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, "проходящие" через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.
Где я могу найти самую последнюю информацию о новых дырах защиты?
5.1.1 CERT (Computer Emergency Response Team) Если есть какая-нибудь проблема с защитой, вы обязательно, в конце концов, узнаете о ней, когда она появится в CERT advisory. Координационный центр CERT (Computer Emergency Response Team) был организован большим количеством университетов и DARPA в ответ на червь Морриса в 1988. Для большей информации смотрите: . 5.1.2 AUSCERT (AUStralian Computer Emergency Response Team) AUSCERT - это австралийская команда реагирования на компьютерную опасность AUStralian Computer Emergency Response Team. Для информации о регистрации обратитесь на их сервер: Для получения более детальной информации свяжитесь непосредственно с AUSCERT по адресу: . 5.1.3 CIAC (Computer Incident Advisory Capability) Департамента Энергетики США
Имеет большое количество полезных консультантов. Для большей информации смотрите: .
Где мне разместить NIDS в своей сети?
Сетевой периметр
IDS наиболее эффективна на сетевом периметре с обоих сторон межсетевого экрана, близко к dial-up серверу и на соединении с сетью партнеров. Эти соединения, как правило, низкоскоростные, так что IDS не снижает их пропускной способности. Магистраль WAN
Другой важной точкой расположения NIDS является глобальная магистраль. Частая проблема - атака на сеть из удаленной точки. Так как эти соединения также низкоскоростные, то IDS не снижает их пропускной способности. У важного узла
Иногда NIDS устанавливают перед критичными серверами (например, сервер баз данных - примечание переводчика) для контроля трафика с этим сервером. (К такому варианту размещения можно отнести и использование IDS в демилитаризованной зоне (DMZ) или у модемного пула - примечание переводчика). Однако в данном случае проблема состоит в том, что трафик во внутренней сети передается с большей скоростью, чем в сети внешней, что приводит к неспособности IDS справляться со всем трафиком и, как следствие, снижению пропускной способности локальной сети. Именно поэтому NIDS ставят перед конкретным сервером, контролируя только определенные соединения. (В таких случаях иногда предпочтительнее установить систему обнаружения атак на уровне хоста, которая устанавливается на каждый защищаемый сервер и обнаруживает атаки именно на него - примечание переводчика). Магистраль локальной сети
IDS непрактичны во внутренней сети из-за неспособности контролировать высокоскоростной трафик. Некоторые производители интегрируют IDS с коммутаторами и маршрутизаторами (например, ODS Network и CISCO - примечание переводчика). Система обнаружения атак, выполняющая полный разбор пакетов, вряд ли сможет быть применена в высокоскоростных сегментах LAN. Упрощенный вариант NIDS, который позволяет обнаруживать только простейшие атаки, возможно, будет более эффективным выбором.
с детства был вскормлен науками,
Я с детства был вскормлен науками, и так как меня уверили, что с их помощью можно приобрести ясное и надежное познание всего полезного для жизни, то у меня было чрезвычайно большое желание изучить эти науки. Но как только я окончил курс учения, завершаемый обычно принятием в ряды ученых, я совершенно переменил свое мнение, ибо так запутался в сомнениях и заблуждениях, что, казалось, своими стараниями в учении достиг лишь одного: все более и более убеждался в своем незнании. Рене Декарт. Рассуждение о методе, чтобы верно направлять свой разум и отыскивать истину в науках
Криптография сегодня - это уже целая отрасль знаний, захватывающая огромные разделы других наук, целью которой является изучение и создание криптографических преобразований и алгоритмов. В настоящее время четко различаются две ветви развития криптографии: классическая традиционная криптография и современная "асимметричная" криптография. Речь в книге идет о классической традиционной криптографии, о симметричных криптосистемах, блочных и поточных шифрах. Прочтя книгу, читатель сможет свободно ориентироваться в классических схемах шифрования и криптоанализа, существующих архитектурах построения блочных и поточных шифров, а также в современных и перспективных методах их анализа. Авторы надеются, что данная книга совместно с другими книгами по рассматриваемой теме, более отдаленными от практической стороны криптографии и несущими больше теоретической информации, послужит хорошим учебным и справочным пособием по реализации и верификации программного обеспечения шифрования данных.
Глубина сканирования
Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
Безопасность в Internet- Intranet
Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной
реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со
специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий proxy.
Guardian управляется специальной программой контроля, допускающей
использование команд: THROTTLE (остановить), RELEASE (продолжить работу),
RECONFIGURE (перечитать файл конфигурации).
Guardian стартует при первоначальном запуске системы и должен управляться
только через вышеописанный интерфейс.
/H2> Кое-как расставленные столы
На следующее утро мы занялись сканированием хост-компьютеров с использованием фрагментированных пакетов. В итоге нам удалось обнаружить массу открытых портов, которые могут стать жертвами атак этого типа. По заверению Боба, для него не составило бы труда несколько модифицировать используемый инструментарий и обойти установленный в сети маршрутизатор. В отчете, который был составлен по результатам тестирования, заказчику рекомендовалось обзавестись брандмауэром, а также провести более детальное обследование всей сетевой инфраструктуры. Конечно, всякая дальнейшая деятельность в данном направлении напрямую зависит от того, способна ли фирма окупить связанные с нею расходы. Однако получив такой отчет, сетевой администратор не должен ограничиваться доведением его основных выводов до сведения высшего менеджмента компании. Полученные сведения следует преподнести так, чтобы руководство осознало: усиление системы информационной безопасности приведет к реальному увеличению прибыли. "Если пытаться оправдать расходы на средства защиты данных только на основе анализа рисков, связанных с несанкционированным вторжением в корпоративную сеть, эту затею можно заранее считать обреченной, - утверждает Грегори Уайт, технический директор компании Secure Logic. - Средства информационной безопасности надо рассматривать исключительно в качестве инструмента для успешного ведения бизнеса". Дебора Рэдклифф (Deborah Radcliff) - технический писатель из Калифорнии. С ней можно связаться по электронной почте:.
Хэш-функции
Хэш-функции являются одним из важных элементов криптосистем на основе ключей. Их относительно легко вычислить, но почти невозможно расшифровать. Хэш-функция имеет исходные данные переменной длины и возвращает строку фиксированного размера (иногда называемую дайджестом сообщения - MD), обычно 128 бит. Хэш-функции используются для обнаружения модификации сообщения (то есть для электронной подписи).
Тип
Описание
MD2
Самая медленная, оптимизирована для 8-битовых машин
MD4
Самая быстрая, оптимизирована для 32-битных машин
Не так давно взломана
MD5
Наиболее распространенная из семейства MD-функций.
Похожа на MD4, но средства повышения безопасности делают ее на 33% медленнее, чем MD4 Обеспечивает целостность данных Считается безопасной
SHA (Secure Hash Algorithm)
Создает 160-битное значение хэш-функции из исходных данных переменного размера.
Предложена NIST и принята правительством США как стандарт Предназначена для использования в стандарте DSS
Хэш-функция
Как показывает практика, алгоритмы с открытым ключом очень неэффективны из-за низкой скорости обработки большого объема данных. Для уменьшения времени на генерацию и проверку подписи, а также для сокращения ее размера применяется специальный механизм, называемый хэш-функцией (hash function), который является отображением подписываемого сообщения в строку фиксированной длины, много меньшей размера самого сообщения. Вместо подписи самого документа подписывается хэш-функция этого документа. Аналогичным образом проверяется подпись не самого документа, а его хэш-функции.
Хранение ключей
Согласно правилу Киркхоффа, сформулированному на рубеже 19 и 20 веков, надежность (стойкость) шифра и, как следствие, стойкость цифровой подписи, должна определяться только секретностью ключа, используемого для шифрования или подписи сообщения. Как следствие, секретные ключи никогда не должны храниться в явном виде на носителях, которые могут быть скопированы. Во многих существующих разработках этим условием пренебрегают, оставляя защиту секретных ключей на совести пользователя системы ЭЦП. В некоторых случаях, разработчики предлагают варианты хранения на носителях, которые, по их словам, трудно копируются. Например, таблетки Touch Memory, смарт-карты или бесконтактные карты Proximity. Однако в последнее время за рубежом участились случаи "удачных" атак на такие носители. Эти случаи преимущественно зафиксированы за рубежом, но российские "умельцы" ни в чем не уступают своим западным коллегам, и можно предсказать, что скоро случаи попыток "взлома" аппаратных носителей будут зафиксированы и в России. Для повышения надежности таких схем хранения рекомендуется секретные ключи шифровать на других ключах, которые в свою очередь, могут быть тоже зашифрованы. Самый последний ключ в этой иерархии называется главным или мастер-ключом и не должен шифроваться. Однако к нему предъявляются очень жесткие требования к хранению в защищенной части компьютера или аппаратуры, реализующей функции цифровой подписи.
Хроника хакерской атаки
Журнал , #02/2000
Дебора РЭДКЛИФФ
В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса компании ParaProtect склонившийся над монитором "хакер" Боб выдавал Unix-команды с такой скоростью, будто его руки лежали не на клавиатуре, а на спусковом крючке автомата. Боб проверял на прочность периферийные средства защиты сертифицированной компании, специализирующейся на предоставлении услуг электронной почты в Internet и являющейся клиентом ParaProtect. У молодых фирм, руководство которых решило заняться электронной коммерцией, как правило, недостаточно средств для оплаты полномасштабной атаки на корпоративную сеть, в ходе которой имитируются действия реальных хакеров и ключевые серверы компании выводятся из строя. Более того, такие фирмы в принципе не могут себе позволить перевести серверы в нерабочее состояние даже на минуту, хотя эта мера будет содействовать повышению уровня защищенности сети. Тем не менее одна из них решилась обратиться в ParaProtect - компанию, предоставляющую консалтинговые услуги в области информационной безопасности - для осуществления своеобразной разведывательной вылазки в корпоративную сеть. По мнению экспертов, коммерческие услуги, моделирующие реальные хакерские атаки, являются идеальным отправным пунктом при проектировании систем сетевой защиты, поскольку "проникающие" тесты позволяют сформировать базу для разработки правил и стратегий защиты информации. Современные корпоративные сети подвергаются нападениям со всех сторон - из Internet, через модемные соединения и даже со стороны нелояльного персонала, поэтому потребность в услугах вроде тех, что предоставляет ParaProtect, неуклонно растет. Молодые представители индустрии электронной коммерции принадлежат к числу наиболее уязвимых компаний. Обостряющаяся конкуренция заставляет их как можно быстрее выходить на рынок с коммерческими продуктами, поэтому при развертывании сетевой инфраструктуры средствам защиты данных обычно не уделяется того внимания, какого они заслуживают. "Нам приходится работать с организациями, у которых не установлены даже брандмауэры, - говорит Ян Пойнтер, президент консалтинговой компании Jerboa из Кембриджа. - Обычно это начинающие фирмы, только что получившие первые инвестиции. Они становятся легкой добычей для хакеров, и только после этого руководство начинает осознавать, что уровень защищенности корпоративной сети мог бы быть повыше". В нашем случае единственный эшелон обороны компании-заказчика был представлен маршрутизатором серии 8000 производства Cisco Systems. Если бы это устройство оказалось в состоянии противостоять попыткам взломать сеть извне, компания смогла бы воспользоваться технической документацией, которая прилагается к отчету о тестировании, чтобы убедить своих клиентов в высокой защищенности серверных приложений, использующих инфраструктуру обмена ключами (PKI). Однако сотрудники ParaProtect с самого начала были настроены скептически. "Мы никогда не согласимся с тем, что компания может обойтись без брандмауэра. Использование одного лишь маршрутизатора не позволяет защитить периферию сети, даже если это устройство обладает множеством интеллектуальных функций. Брандмауэры предлагают гораздо больше методов фильтрации пакетов, да и вообще, система информационной безопасности должна быть многоуровневой", - считает Роберт Перхольц, менеджер компании по работе с корпоративными клиентами. Вот как развивались события в ходе атаки на сеть компании-заказчика, предпринятой сотрудником ParaProtect.
И вновь о подмене
Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.
Июль
Два жителя Бруклина были
арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих
автомобилистов. По словам сотрудников секретных служб, это крупнейшая
кража такого рода в истории США. Если бы эти номера удалось реализовать
на черном рынке, ущерб от незаконно использованных телефонных
услуг составил около 80 миллионов долларов (AP, 2 июля).
В июльском выпуске бюллетеня
"Health Letter" сообщается, что аналоговые сотовые телефоны
вызывают "минимальную интерференцию" в течение 3% времени
своей работы, тогда как все цифровые телефоны демонстрируют заметный
уровень интерференции с устройствами, задающими частоту сокращения
сердечной мышцы. ().
Потерпев впечатляющую
неудачу в контроле качества продуктов для других стран, корпорация
Microsoft вынуждена была принести извинения за испаноязычный электронный
словарь, распространявшийся в Мексике. Словарь предоставлял непристойные
синонимы многих слов и вызвал политический скандал. (6 июля).
35-летний компьютерный
оператор нанес своему работодателю, компании Thorn UK, ущерб в
размере более полумиллиона фунтов. Оператор, в знак недовольства
начальником, скрытно отсоединил несколько кабелей от миникомпьютера
AS/400. Адвокат пытался доказать, что его подзащитный сошел с
ума от напряжения, вызванного постоянным чередованием работы с
дневную и ночную смены. После отключения кабелей компьютерная
система стала периодически зависать, пока дорогостоящий специалист,
прилетевший из США, не обнаружил проявления саботажа. Оператора
приговорили к году тюремного заключения. (PA News, 9 июля).
Полиция предупредила путешественников
о необходимости защищать свои лэптопы от краж в аэропортах. Обычный
сценарий кражи таков. Два вора дожидаются, когда их жертва поставит
лэптоп на ленту транспортера устройства просвечивания. Компьютер
начинает движение через сканер, а в это время воры влезают в очередь
перед хозяином лэптопа. Один быстро проходит контрольный пункт,
а другой, намеренно набравший в карманы всяких железяк, задерживает
всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший
из устройства просвечивания переносной компьютер и исчезает. ("Wall
Street Journal", 9 июля).
В августовском номере
Windows Magazine сообщается, что многие Web-серверы не защищены
от вторжений, совершаемых с помощью обычных программ-навигаторов.
Используя стандартные средства поиска в WWW, исследователи обнаружили,
что многие серверы предоставляют неограниченный доступ к своим
файлам на чтение и даже на запись. (Более подробную информацию
можно найти по адресу ).
Национальная ассоциация
кабельного телевидения США объявила о своем намерении предоставить
кабельное хозяйство для высокоскоростного доступа в Интернет для
95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких
свидетельств, что программа включает в себя какие-либо элементы
обучения детей и учителей, которые получат доступ к Интернет.
Будем надеяться, что школьникам хотя бы разъяснят основные этические
нормы, ведь результатом всеобщего неведения может стать новое
правительства начал функционировать в конце августа; в сентябре
его ввели в промышленную эксплуатацию. В конце сентября в Бирме
запретили использование модемов и факс-машин.
Старшеклассники из Сан-Франциско
проникли в офисную АТС местной производственной компании и атаковали
ее систему голосовой почты. Они удалили информацию, изменили пароли,
завели новые счета для собственного использования и в конце концов
развалили систему, перегрузив ее. Компания потратила 40 тысяч
долларов на техническую поддержку, осуществляемую внешним специалистом.
("San Francisco Chronicle", 10 июля 1996 года, с. A13;
).
В середине июля корпорация
General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile
и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном
обеспечении двигателя могла привести к пожару. ().
Одна студентка потеряла
драгоценную стипендию в 18 тысяч долларов в Мичиганском университете
из-за того, что ее соседка по комнате воспользовалась их общим
входным именем и отправила от имени своей жертвы электронное письмо
с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка
созналась в своем поступке, заплатила крупный штраф, а университет
восстановил пострадавшую студентку в правах.
Компания Dataquest опубликовала
прогноз, согласно которому объем мирового рынка информационной
безопасности за период с 1996 по 2000 год более чем удвоится и
составит в денежном выражении 13.1 миллиарда долларов (в 1996
году - 5.9 миллиарда).
По сообщению специалистов
компании McAfee, в июле был открыт первый в мире макровирус для
Excel, названный "Laroux". Компания тут же выпустила
антивирусную программу. По-видимому, этот вирус не содержит разрушительной
"начинки".
22 июля фондовая биржа
в Иоханнесбурге прервала работу во второй раз за последние две
недели (10 июля было установлено новое программное обеспечение).
Причина - плохой контроль качества программ. (). В
середине октября Каирская фондовая биржа столкнулась с проблемами
в недавно установленном программном обеспечении. После аварии
системы биржевые цены и объем торгов значительно упали (Reuters,
16 октября). В декабре фондовая биржа в Гонконге испытала падение
акций на 1% при объеме торгов в 1 миллиард долларов, когда система
автоматического сопоставления и исполнения заявок выдала ложное
сообщение о снижении на 4% индекса Hang Seng (это основной показатель
на данной бирже). Ошибочные данные вызвали панические продажи,
продолжавшиеся около 20 минут. ().
24 июля в Комитет по торговле
Сената США поступил законопроект 1726 - "Поддержка онлайновой
коммерции в цифровой век" (Promotion of Commerce Online in
the Digital Era Act, известный также под названием "pro-code").
Этот законопроект должен отменить большинство экспортных ограничений
и запретить обязательное восстановление ключей. В сентябре слушания
по законопроекту не состоялись.
В подпольном мире состоялся
крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали
также некриминальные элементы, заинтересованные в информационной
безопасности. Среди докладчиков была Netta Gilboa, издатель журнала
"Gray Areas Magazine". В свое время у нее нашел убежище
юный беглец Christopher Schanot. Ее выступление постоянно перебивали
и в конце концов вырвали презентационные материалы у нее из рук.
Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.
Июнь
Правительство Вьетнама
опубликовала новые законы о контроле доступа к Интернет, закрыв
все сервисы, представляющие угрозу национальным интересам. (AP,
4 июня).
В газете "London
Times" от 3 июня сообщается, что хакерам было выплачено 400
миллионов фунтов стерлингов в качестве отступного за обещание
не поднимать шума. Хакеры осуществили электронное проникновение
в ряд банков, брокерских контор и инвестиционных компаний Лондона
и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить
требования вымогателей, поскольку огласка случаев электронного
взлома могла бы поколебать уверенность клиентов в безопасности
банковских систем.
Средства массовой информации
советуют администрации Клинтона сформировать группу обеспечения
кибербезопасности для определения национальных интересов при защите
от информационного оружия. ("USA Today", 5 июня).
В Питсбурге трехлетний
малыш получил извещение о необходимости уплатить 219495 долларов
подоходного налога. Родители мальчика пережили немало тяжелых
минут, доказывая, что произошла ошибка. ("Но мой компьютер
говорит...".)
На слушаниях в постоянном
сенатском подкомитете по исследованиям адвокат Dan Gelber привел
данные неназванной исследовательской фирмы. Согласно этим данным,
общемировые потери в секторе коммерческих и финансовых услуг составили
за год около 800 миллионов долларов. Более половины потерь приходится
на долю американских компаний. ("Wall Street Journal",
6 июня).
Содержите компьютеры в
чистоте! Как свидетельствует доклад, опубликованный в Швеции,
сочетание пыли и статического электричества приводит к росту числа
кожных раздражений у пользователей компьютерных терминалов. ().
Британская компания Davy
International возбудила иск о промышленном шпионаже против австралийской
фирмы VA Technologie AG. По постановлению суда истец получил документы
общим объемом 2000 страниц и компьютерные диски, содержащие информацию,
принадлежащую Davy International; все это было изъято у ответчика.
VA Technologie решительно отвергла обвинения в свой адрес (Dow
Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная
фирма Kvaerner ASA (родительская компания Davy) присоединилась
к процессу против VA. Недолго думая, VA Technologie возбудила
встречный иск против своих обвинителей. (Dow Jones, 21 июня).
Телезрители чикагского
региона были поражены, когда вместо знакомой (весьма, кстати сказать,
слащавой) телеигры Jeopardy, в которой три участника дают ответы
в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось,
что из-за технической неисправности компания Continental Cablevision
10 минут транслировала Playboy Channel на частотах, выделенных
для телеигры. ().
Компания Lexis-Nexis,
предоставляющая информационные услуги, отреагировала на шквал
критики, в особенности от пользователей Интернет. В набор персональных
сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал
включаться номер социального страхования. Однако, после тысяч
телефонных звонков по поводу ложной информации, циркулирующей
в Интернет, попавшая буквально в осаду компания предложила средства
для удаления неправильных записей из базы данных. (AP, 13 июня;
UPI, 20 сентября).
Министр юстиции США Janet
Reno поддержала идею составных ключей для криптостойких средств,
но предложила, чтобы в качестве хранителей ключей выступали частные
организации, а не правительственные агентства.
Секретные службы США объявили
об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба
на сумму более 7 миллионов долларов в результате махинаций с сотовой
связью (Reuters, 18 июня). Практически одновременно AT&T Wireless
Services начала трехмесячную просветительскую компанию с размещением
информации в вагонах Нью-Йоркской подземки, на почтовых открытках
и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы
сотовой связи имеют возможность отслеживать украденные телефоны.
Еще об одном подозрении
в промышленном шпионаже. Американское отделение немецкой фармацевтической
фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение
компании Johnson & Johnson, производящее продукты для диабетиков,
в поощрении промышленного шпионажа. Основанием для обвинения послужило
присуждение премий "Inspector Clouseau" и "Columbo"
сотрудникам, добывшим наибольшее количество сведений о конкурентах.
перерыв в работе, результатом которого стало массовое негодование
клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters,
21 июня; ). Днем позже система электронной почты в
сети America Online была на час выведена из строя из-за ошибки
в новом программном обеспечении. Остроумные комментаторы тут же
переименовали сервис в "America Offline". В августе
сеть America Online не работала 19 часов.
В Британии Mathew Bevan
и Richard Pryce были обвинены в заговоре с целью получения несанкционированного
доступа к компьютерам и внесения несанкционированных модификаций
в компьютеры. Им приписывают вторжения в компьютерные системы
армии США и ракетно-космического концерна Lockheed. (PA News,
23 июня).
Подданный Аргентины Guillermo
Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения
в федеральной тюрьме. Гильермо сознался в том, что он отправил
видеокассеты с описанием технологии производства Intel-микросхем
в адрес компании AMD, одного из главных конкурентов Intel. Представители
AMD немедленно уведомили полицию о присланном "подарке",
и это позволило задержать промышленного шпиона. (Reuters, 24 июня).
Директор ЦРУ John Deutch
предостерег Конгресс о том, что США сталкиваются с растущей угрозой
атак против компьютерных сетей. Эти киберпространственные атаки
могут быть инициированы другими странами и террористами.
В городе Леония (штат
Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании
фальсифицированных номеров кредитных карт для кражи компьютерного
оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор
номеров кредитных карт, взятый им в Интернет, и случайно создал
номер кредитной карты. числившейся в списке украденных. (Reuters,
29 июня).
В июньском выпуске бюллетеня
"Health Letter", издаваемого Public Citizen Health Research
Group, рассказывается о влиянии радиочастотных помех на медицинские
устройства. Такие помехи не давали пневмо-монитору извещать персонал
больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор
направлял импульс здоровому сердцу. Электрические устройства интерферировали
с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам
оказались имплантированные устройства, задающие частоту сокращения
сердечной мышцы. ().
Один пункт в июньском
докладе группы NCSA IS/Recon представляет особый интерес. Приведем
его полностью.
Компьютерные системы библиотек
- излюбленные цели начинающих хакеров
Источник: IS/Recon
Дата: июнь 1996
Достоверность: высокая
Группа IS/Recon обратила
внимание на то, что компьютерные системы публичных библиотек стали
излюбленным объектом атак со стороны начинающих хакеров. Использование
этих систем "квалифицированными" хакерами также вероятно,
хотя они сообщают об этом реже, чем их младшие коллеги. Несколько
подпольных источников IS/Recon недавно опубликовали процедуры
атак на DYNIX - вариант ОС Unix, используемый во многих американских
школах и библиотеках.
После того, как члены
группы IS/Recon недавно ликвидировали последствия атаки шайки
хакеров на компьютерную систему небольшой компании-поставщика
Интернет-услуг, они выяснили, что эта шайка систематически вторгалась
в сети публичных библиотек штата. Примерно в это же время члены
группы IS/Recon проводили обследование компании, расположенной
в том же штате, на предмет ее информационной безопасности. Оказалось,
что в учебном центре компании имеется терминал, связанный с библиотечной
сетью.
Группа IS/Recon рекомендует,
чтобы компании, располагающие подключениями к сетям публичных
библиотек, изолировали их "воздушной прокладкой" от
остальной части своей корпоративной сети.
Имеется ли технология обнаружения атак, которая предпочтительней других?
Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра. Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег. Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором. Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы. Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.
"Имитация атак" (exploit check)
Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении. Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки. Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть. Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков. Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").
Имитационный сценарий хакерской атаки
Первый этап
Получение данных о тестируемой сети (количество сетей филиалов, IP-адреса, типы компьютеров) Второй этап
Выявление наиболее уязвимых участков сети (выдача команд ping на отдельные порты и анализ сервисов, которые на них запущены) Третий этап
Проверка степени уязвимости (попытки нарушить работу сервисов, скопировать файлы с паролями, внести в них изменения и т. д.) Четвертый этап
Атака на корпоративную сеть с целью прервать работу сервисов и вызвать сбои в функционировании ключевых серверов.
Информация о некоторых первоисточниках
Новостийные статьи обычно
разыскивались через сервис Executive News Service (ENS) сети CompuServe.
Информация о сервисе Edupage
Дайджесты Edupage пишут
John Gehl <> и Suzanne Douglas <>.
Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая
поддержка осуществляется службой информационных технологий университета
штата Северная Каролина. Чтобы подписаться на Edupage, направьте
электронное сообщение по адресу:
В теле сообщения напишите:
subscribe edupage Benjamin Disraeli
(если Вас зовут Бенджамин
Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы
отказаться от подписки, направьте по вышеуказанному адресу текст
unsubscribe edupage
Если у Вас возникли проблемы
с подпиской, пишите по адресу:
Архивы и переводы. Дайджесты
Edupage переводятся на китайский, французский, немецкий, греческий,
иврит, венгерский, итальянский, корейский, литовский, португальский,
румынский, словацкий и испанский. Переводы и архивы можно найти
на Web-сервере
Чтобы получить информацию
о подписке на переводную версию Edupage, направьте письмо по адресу:
Educom - преобразуем образование
посредством информационных технологий.
Информация о телеконференции
RISKS
Дата: 15 августа 1996
года (дата последних изменений)
От: RISKS-request@csl.sri.com
Тема: Краткая информация
о телеконференции RISKS (comp.risks)
RISKS Forum - это модерируемый
дайджест. Его эквивалент в Usenet - comp.risks.
О подписке. Если это возможно
и удобно для Вас, читайте RISKS средствами телеконференций из
comp.risks или эквивалентного источника.
Можно использовать сервис
Bitnet LISTSERV.
Можно направить почтовый
запрос по адресу:
с однострочным текстом:
SUBSCRIBE (или UNSUBSCRIBE)
[сетевой адрес, если он отличается от указанного в заголовке FROM:]
чтобы подписаться или
прекратить подписку на почтовую версию, или
INFO
чтобы получить краткую
информацию о телеконференции RISKS.
Информационный файл (аннотация,
подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков
из областей управления .mil, .gov и .uk, политика в области авторских
прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:
Подробный информационный
файл появится отныне и на веки веков в одном из следующих выпусков.
Предполагается, что все
авторы, пишущие в RISKS, ознакомились с информационным файлом.
Материалы в телеконференцию
RISKS следует направлять по адресу:
снабдив их осмысленным
заголовком SUBJECT:.
Архивы доступны по адресам:
ftp ftp.sri.comlogin
anonymous [Ваш Интернет-адрес]cd risks
http://catless.ncl.ac.uk/Risks/<том>.
<выпуск>.html
В каталоге risks сервера
ftp.sri. com содержится также самая свежая PostScript-версия исчерпывающей
хронологической подборки однострочных "выжимок", которую
поддерживает Peter G. Neumann
написание слов, которые могут послужить
Материалы предоставлены компанией
В тексте оставлено англоязычное
написание слов, которые могут послужить аргументом поиска в Интернет
наук, Национальная ассоциация информационной безопасности США
Автор, M.E. Kabay,
сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно
в 1917 году, шлет теплые поздравления своим неизвестным родственникам,
проживающим в России.
Людям нравится перспектива
- и пространственная, и временная. Может быть, по этой причине
каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев,
и вспоминают, что изменилось за это время в области их профессиональных
интересов. В "NCSA News" публикуется обзор года "The
InfoSec Year in Review", чтобы осмыслить события, произошедшие
в области информационной безопасности. Наша группа исследований,
обучения и консультирования, естественно, имеет удовольствие писать
этот обзор. Предлагаемая вниманию читателей статья представляет
собой существенно расширенную версию доклада, опубликованного
в январском выпуске "NCSA News" за 1997 год. Каждый
месяц мы готовим свежую сводку событий для наших учебных курсов
"InfoSec Update"; в статье сохранено разбиение по месяцам.
Кроме фактов, ниже излагаются некоторые соображения по поводу
наиболее примечательных событий.
Информационная безопасность
Технологии Интернет изменяют не только подходы организаций к ведению бизнеса, но и их отношение к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. Для того, чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров. Check Point Software Technologies предлагает комплексное решение, соответствующее этим новым и постоянно возрастающим требованиям.
Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями . FireWall-1 позволяет и на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» [OPSEC - Open Platform for Secure Enterprise Connectivity] - основывается на концепции объединения технологий защиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-1. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.
Только FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как , Имея тысячи инсталляций в различных организациях по всему миру, Check Point FireWall-1 является самым распространенным и наиболее оттестированным продуктом сетевой защиты на сегодняшний день.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются.. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.
Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.
Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1.
Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.
Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем.
Информационная система. Взгляд изнутри
Для любой компании (финансовой, страховой, торговой и т.п.) существует своя типовая информационная система (ИС), состоящая из компонент, решающих свои специфичные задачи, но в общем случае ИС включает в себя 4 уровня (рис.1.): 1. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, системы MS Query и т.д. 2. Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access. 3. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT, Sun Solaris, Novell Netware. 4. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.
У злоумышленников имеется широчайший спектр возможностей по нарушению политики безопасности, которые могут быть осуществлены на всех четырех вышеназванных уровнях ИС [5]. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server злоумышленники могут попытаться реализовать одну из следующих возможностей: 1. Прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО). 2. Прочитать нужные данные средствами самой СУБД (уровень СУБД). 3. Прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС). 4. Перехватить передаваемые по сети данные (уровень сети).
Рис.1. Уровни информационной системы
Интеграция средств контроля доступа и средств VPN
Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов. Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу. Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится. Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.
Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:
Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил.
Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия.
Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик.
Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок.
Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.
Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.
Internet Scanner
Система анализа защищенности — Internet Scanner — предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п. Результатом тестирования являются отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места». Хотелось бы отметить, что еще год назад Internet Scanner был сертифицирован Гостехкомиссией РФ (сертификат № 195) и пока является единственной системой анализа защищенности, получившей «добро» в этой организации.
Более 3000 компаний во всем мире (включая Россию) используют Internet Scanner в качестве основного компонента системы обеспечения сетевой безопасности
Internet Scanner может быть использован для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключенных к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из трех основных подсистем: Intranet Scanner для тестирования рабочих станций, серверов, X-терминалов; Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования; Web Security Scanner для контроля за Web-, FTP-, SMTP- и другими службами. Firewall Scanner используется Гостехкомиссией РФ при проверках МЭ для их сертификации на информационную безопасность.
Технология SmartScan сделала Internet Scanner «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер; он изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создает полную картину уязвимостей организации и способен автоматически применить накопленные сведения для расширения возможностей сканирования
Подробно описывать все возможности системы Internet Scanner нет нужды — этому посвящено немало статей. Хотелось бы остановиться на некоторых функциях, не получивших освещения в российских публикациях. Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых — задание своих собственных и множества стандартных проверок (более 600), определение глубины сканирования, централизованное управление процессом сканирования, параллельное сканирование до 128 сетевых устройств и систем, запуск процесса по расписанию, генерация отчетов различных форматов и уровня детализации, функционирование под управлением ряда ОС и невысокие системные требования к программно-аппаратному обеспечению.
Рис. 1. Типовой отчет о защищенности сети, полученный с помощью Internet Scanner
Настройка на конкретное сетевое окружение организации облегчается за счет шаблонов для поиска тех или иных «слабых мест». Все 600 уязвимостей, обнаруживаемых Internet Scanner, разделены на 26 категорий, по которым можно создавать и собственные новые шаблоны.
Продукт ISS обеспечивает такую уникальную проверку, как определение работающих в сети модемов. С ее помощью реально предотвращается несанкционированный доступ к корпоративной сети через модем в обход межсетевого экрана.
Механизм генерации отчетов Internet Scanner позволяет выбирать из 30 готовых форм. Они позволяют получить как обобщенные данные об уровне защищенности всей организации (рис. 1), так и подробные отчеты, содержащие техническую информацию о том, где и какие «слабые места» обнаружены, а также инструкции по их устранению (например, пошаговые рекомендации по изменению системного реестра Windows или строки в конфигурационных файлах Unix, гиперссылка на FTP- или Web-сервер с обновлением, устраняющим уязвимость). Отчеты могут быть выведены не только на английском, но и на немецком, французском, испанском, португальском и, что примечательно, на русском языке. Русифицирована и подсистема описания уязвимостей (рис. 2.).
Рис. 2. Вид экрана описания уязвимостей Internet Scanner
Последняя версия Internet Scanner имеет возможность добавлять собственные проверки уязвимых мест, например описанных в Bugtraq или обнаруженных в процессе работы.
Подсистема моделирования атак — Advanced Packet eXchange — поставляется бесплатно c Internet Scanner и позволяет администратору создавать допустимые и запрещенные IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.
Инженеры человеческих душ
- Алло!
- Справочная Киевского вокзала слушает.
- У вас заложена бомба.
- !?…
В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи.
IP Hijacking
Если в предыдущем случае крэкер инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией "подслушивания" и IP spoofing'а.
Использование однократного гаммирования
С точки зрения теории криптоанализа метод шифрования однократной случайной равновероятной гаммой той же длины, что и открытый текст, является невскрываемым (далее для краткости авторы будут употреблять термин "однократное гаммирование", держа в уме все вышесказанное). Обоснование, которое привел Шеннон, основываясь на введенном им же понятии информации, не дает возможности усомниться в этом - из-за равных априорных вероятностей криптоаналитик не может сказать о дешифровке, верна она или нет. Кроме того, даже раскрыв часть сообщения, дешифровщик не сможет хоть сколько-нибудь поправить положение - информация о вскрытом участке гаммы не дает информации об остальных ее частях. Логично было бы предположить, что для организации канала конфиденциальной связи в открытых сетях следовало бы воспользоваться именно схемой шифрования однократного гаммирования. Ее преимущества вроде бы очевидны. Есть, правда, один весомый недостаток, который сразу бросается в глаза, - это необходимость иметь огромные объемы данных, которые можно было бы использовать в качестве гаммы. Для этих целей обычно пользуются датчиками настоящих случайных чисел (в западной литературе аналогичный термин носит название True Random Number Generator или TRNG). Это уже аппаратные устройства, которые по запросу выдают набор случайных чисел, генерируя их с помощью очень большого количества физических параметров окружающей среды. Статистические характеристики таких наборов весьма близки к характеристикам "белого шума", что означает равновероятное появление каждого следующего числа в наборе. А это, в свою очередь, означает для нас действительно равновероятную гамму . К сожалению, для того чтобы организовать конфиденциальный канал передачи данных, потребуется записать довольно большое количество этих данных и обменяться ими по секретному каналу . Уже одно это условие делает однократное гаммирование во многих случаях неприемлемым. В самом деле, зачем передавать что-то по открытому незащищенному каналу, когда есть возможность передать все это по секретному защищенному? И хотя на простой вопрос, является ли метод использования однократной случайной равновероятной гаммы стойким к взлому, существует положительный ответ, его использование может оказаться попросту невозможным. Да и к тому же метод однократного гаммирования криптостоек только в определенных, можно даже сказать, тепличных условиях. Что же касается общего случая, то все не так просто. Показать слабости шифра однократного гаммирования можно, говоря наукообразно, с помощью примера или, что называется, "на пальцах". Представим следующую ситуацию. Допустим, в тайной деловой переписке используется метод однократного наложения гаммы на открытый текст. Напомним, что "наложение" гаммы не что иное, как сложение ее элементов с элементами открытого текста по некоторому фиксированному модулю. Значение модуля представляет собой известную часть алгоритма шифрования. Чтобы дальнейшие рассуждения были как можно более понятны, рассмотрим следующее свойство шифротекста. Предположим, что мы знаем часть гаммы, которая была использована для зашифрования текста "Приветствую, мой ненаглядный сосед!" в формате ASCII, кодировка WIN-1251 (см. листинг 7.1).
П р и в е т с т в у ю , _ м о й CF F0 E8 E2 E5 F2 F1 F2 E2 F3 FE 2C 20 EC EE E9 _ н е н а г л я д н ы й _ с о с 20 ED E5 ED E0 E3 EB FF E4 ED FB E9 20 F1 EE F1 е д ! E5 E4 21
Листинг 7.1
Верхние строки в этих трех парах строк соответствуют символам открытого текста, а нижние строки представляют собой соответствующие шестнадцатеричные их обозначения.
Для зашифрования была использована гамма из листинга 7.2 (значения чисел даны тоже в шестнадцатеричном формате).
BD 8E 1E 72 9C 26 43 AD E7 8B 89 7C 91 06 DE E2 2B DC F9 C9 E1 6D BB 91 43 68 F3 6D 85 2F 0A 74 0F AA 7A 8D A1 8C F8 4A 5D 52 7B BB 7C 01 25 93
Листинг 7.2
Пусть криптоаналитику стали доступны ее первые десять байтов и он также знает, что было использовано наложение гаммы как сложение по модулю два . В языке Си существует общеизвестный оператор "^", который ее выполняет. Алгоритм шифрования на языке Си описывается короткой и простой функцией (см. листинг 7.3).
А ее результат выполнения, то есть зашифрованный текст, выглядит, как показано в листинге 7.4.
72 7E F6 90 79 D4 B2 5F 05 78 77 50 B1 EA 30 0B 0B 31 1C 24 01 8E 50 6E A7 85 08 84 A5 DE E4 85 EA 4A 5B
Листинг 7.4
Поскольку криптоаналитику известны первые десять байтов гаммы, он может дешифровать первые десять байтов шифротекста с помощью все той же программы из листинга 7.3. Но кроме этого, он может использовать известные ему байты гаммы, чтобы подделать начало сообщения, заменив десять байтов оригинального шифротекста на свои собственные. Для этого он может выбрать поддельное сообщение, например "До свидания". Затем зашифровать его гаммированием и поместить в начало шифротекста вместо зашифрованной части исходного сообщения - слова "Приветствую". В этом случае гамма будет выглядеть так, как в листинге 7.5 (жирным выделен замещенный участок).
79 60 3E 83 7E CE A7 4D 0A 63 76 50 B1 EA 30 0B 0B 31 1C 24 01 8E 50 6E A7 85 08 84 A5 DE E4 85 EA 4A 5B
Листинг 7.5
Получатель, расшифровав сообщение, увидит фразу "До свидания, мой ненаглядный сосед!", а не оригинальную "Приветствую, мой ненаглядный сосед!". При этом у него не будет никакой возможности проверить, действительно ли это написал отправитель или кто-то другой. Так что, скорее всего, он поверит присланному сообщению.
Вернемся теперь немного назад и попробуем проанализировать зашифрованный однократной гаммой документ, содержащий что-либо более существенное. К примеру, коммерческую тайну. Поставим себя на место криптоаналитика, задачей которого стало вскрытие перехваченного зашифрованного документа.
Этот документ вполне может быть контрактом на оказание услуг в сфере защиты информации конкурирующей фирмы "Рога и Копыта". Как и большинство деловых бумаг, подобный контракт имеет фиксированный бумажный формуляр (примитивный вариант изображен в листинге 7.6), в который попросту вписываются нужные значения полей - фамилии, суммы и ставятся подписи. При переводе в электронный вид этот документ принимает вполне определенную фиксированную электронную форму в формате какого-нибудь текстового процессора.
Д О Г О В О Р N____
Я, ___________________, именуемый в дальнейшем… …заключаю договор на сумму _______ …
Подпись ЗАКАЗЧИКА Подпись ИСПОЛНИТЕЛЯ
Листинг 7.6
Криптоаналитик наверняка легко может получить копию этого электронного документа. Он может сделать это, например, под предлогом заключения договора о тестировании компьютеров на предмет возможной утечки информации. Исследуя эту копию, он узнает тип и электронный формат документа, который у него уже есть в зашифрованном виде. Таким образом, он становится обладателем так называемой вторичной информации о шифре.
С высокой долей вероятности может оказаться, что к нему в руки попал документ, например, в формате Microsoft Word. Этот формат содержит очень много избыточной информации, которая сама по себе может быть полезна для криптоанализа (подробнее об этом см. раздел "Защита текстовых документов Microsoft Word").
Самое главное в любом формате - перечень значений различных полей. Многие поля формата текстовых файлов Microsoft Word (MSWord) просто заполняются фиксированными значениями. Тогда, по сути, криптоаналитик сразу же получает довольно много пар "открытый текст - зашифрованный текст", поскольку многие участки того файла, который находится в его руках, либо вовсе фиксированы, либо легко угадываются.
Это наверняка дало бы криптоаналитику множество преимуществ, если бы документ был зашифрован каким-нибудь блочным шифром, но, к сожалению, совершенно бесполезно в случае однократного использования равновероятной гаммы.
Анализируя шифротекст, мы можем сложить известные нам значения полей формата MSWord с зашифрованным текстом и получить участки гаммы. Но, к сожалению, эта информация ничем не поможет нам в поиске возможных значений для остальных участков гаммы, поскольку они вырабатывались независимо друг от друга и знание одной части не дает ни капли информации о других частях.
С другой стороны, получив текстовый формуляр в электронном виде и сравнивая его с зашифрованным текстом, мы можем с некоторой уверенностью указать на местоположение тех или иных элементов текста в зашифрованном документе. То есть, имея стандартный формуляр, мы можем опираться не только на легко угадываемые значения полей формата MSWord, но и уже на текстовые сообщения, которые хранятся в файле в этом формате.
Посмотрим на добытый криптоаналитиком формуляр типового документа. Для этого можно использовать HEX-редактор или даже быстренько набросать программку вывода содержимого файла с помощью функции print_hex() (см. главу "Отступление для программистов").
По смещению 500h (в десятичном эквиваленте 500h = 1280) байтов в содержимом файла можно найти отлично видимый невооруженным взглядом текст уже знакомого документа, приведенный выше (см. листинг 7.7).
00000500: C4 20 CE 20 C3 20 CE 20 ¦ C2 20 CE 20 D0 20 20 20 Д О Г О В О Р . 00000510: 4E 5F 5F 5F 5F 0D 0D DF ¦ 2C 20 5F 5F 5F 5F 5F 5F N____ Я, ______ 00000520: 5F 5F 5F 5F 5F 5F 5F 5F ¦ 5F 5F 5F 5F 5F 2C 20 E8 _____________, и 00000530: EC E5 ED F3 E5 EC FB E9 ¦ 20 E2 20 E4 E0 EB FC ED менуемый в дальн 00000540: E5 E9 F8 E5 EC 85 0D 85 ¦ E7 E0 EA EB FE F7 E0 FE ейшем: заключаю 00000550: 20 E4 EE E3 EE E2 EE F0 ¦ 20 ED E0 20 F1 F3 EC EC договор на сумм 00000560: F3 20 5F 5F 5F 5F 5F 5F ¦ 5F 0D 0D 0D CF EE E4 EF у _______ Подп . 00000570: E8 F1 FC 20 C7 C0 CA C0 ¦ C7 D7 C8 CA C0 09 09 CF ись ЗАКАЗЧИКА П 00000580: EE E4 EF E8 F1 FC 20 C8 ¦ D1 CF CE CB CD C8 D2 C5 одпись ИСПОЛНИТЕ 00000590: CB DF 0D 0D 21 00 91 C4 ¦ 02 A1 01 00 9C C4 02 9D ЛЯ..............
Листинг 7.7
В таком случае данные зашифрованного файла по этому же смещению могут выглядеть так же, как и в листинге 7.8 (авторы берут на себя смелость немного свободно обращаться с шифротекстом, однако, как будет показано, это не меняет ситуации в целом):
00000500: F2 A9 BC 9B 37 FD 49 C0 ¦ 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. 00000510: C8 96 C8 76 6E BC 3B A9 ¦ 8B BA 91 1D 82 70 E1 A6 +Ц+vn+;йЛ¦С_Вpсж 00000520: 78 1B 22 09 F2 70 72 CB ¦ 85 C8 BC DC 62 DC F4 D9 x_".Єpr-Е++_b_Ї+ 00000530: B6 E0 0E CB 6E AD 1B B9 ¦ 4C ED 44 A2 A2 0C CA 2D ¦р-nн_¦LэDвв--.. 00000540: 51 B4 27 6E E6 17 72 10 ¦ 7C 79 29 EF E4 A5 08 A0 Q¦'nц_r_|y)яфе_а 00000550: 5C 5C B7 FA 73 DF CC 9F ¦ CB AA A8 8C E0 82 25 84 \\+·s_¦Я-киМрВ%Д 00000560: 7E DA 16 35 8F 86 6C 52 ¦ 2D 8F F2 FB 2A C7 E9 85 ~+_5ПЖlR-ПЄ_*¦щЕ 00000570: B8 9E F3 45 D9 1A 57 5E ¦ E1 A2 67 37 E4 D7 71 A2 +ЮєE+_W^свg7ф+qв 00000580: B6 1B B9 C3 79 5D CA 2F ¦ AF 44 A2 20 65 F2 24 9B ¦_¦+y]-/пDв eЄ$Ы 00000590: BC 83 D4 34 05 7E FA AA ¦ 83 F4 AF EA 72 93 BB 57 +Г+4_~·кГЇпъrУ+W
Листинг 7.8
Если теперь данные из зашифрованного файла сложим по модулю два (ведь по правилу Керкхоффа нам известен способ сложения гаммы с открытым текстом) с данными типового договора, то получим не что иное, как несколько байтов гаммы (см. листинг 7.9). Точно так же мы поступали с текстом "Приветствую, мой ненаглядный сосед!", рассматривая способ подделывания подобных сообщений.
Байты из типового договора по смещению 500h: C4 20 CE 20 C3 20 CE 20 C2 20 CE 20 D0 20 20 20 Д О Г О В О Р . Складываем с байтами шифротекста договора по тому же смещению: F2 A9 BC 9B 37 FD 49 C0 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. И получаем байты гаммы: 36 89 72 BB F4 DD 87 E0 DC A9 EE CC EA 99 D1 0E Єй+Ы7¤I+-Й ь:¦ё.
Листинг 7.9
Теперь допустим, мы каким-либо образом узнали, что сделка была оформлена на общую сумму $15000. Следовательно, эта сумма была проставлена в документе, зашифрованный вариант которого мы имеем.
Посмотрим на документ - поле для ввода суммы сделки находится по смещению 562h (1378) в файле. Можно предположить, и это почти наверняка окажется так, что и в зашифрованном файле по тому же смещению находится строка "$15000".
Если злоумышленник задастся целью подделать сумму сделки, он может в этом преуспеть, сделав всего несколько простых вычислительных действий при помощи средств модулярной арифметики.
Итак, следуя данному немного выше примеру и сделав предположение, что сумма равна ни больше ни меньше $15000, сложим по модулю два байты строки в зашифрованном тексте, начиная со смещения 562h (именно там находится сумма договора), с байтами строки "$15000" - предполагаемой нами суммой. Результат отражен в листинге 7.10.
7E DA 16 35 8F 86 6C 52 2D 8F F2 FB 2A C7 E9 85 ~+_5ПЖlR-ПЄ_*¦щЕ cкладываем с байтами строки "$15000": 24 31 35 30 30 30 $15000 И получаем байты гаммы: 32 04 BA B6 5C 62 2_¦¦\b
Листинг 7.10
Получив таким простым образом уже не просто несколько байтов гаммы, а участок гаммы, где находится интересующая нас информация, мы можем зашифровать все, что нам заблагорассудится. В нашем случае это любая сумма договора. А затем мы можем поместить результат по выбранному смещению обратно в зашифрованный файл и выслать его действительному получателю.
Уменьшим слегка сумму контракта, сложив байты шифротекста с байтами строки "$00000" (см. листинг 7.12):
cкладываем байты гаммы: 32 04 BA B6 5C 62 2_¦¦\b
с байтами строки "$00000": 24 30 30 30 30 30 $00000 и снова получаем байты шифротекста: 16 34 8A 86 6C 52 .4КЖlR
Листинг 7.11
В результате этих действий получаем почти тот же зашифрованный текст, но теперь в контракте стоит совершенно другая сумма (см. листинг 7.12, рамочкой обведены изменившиеся байты).
00000500: F2 A9 BC 9B 37 FD 49 C0 ¦ 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. 00000510: C8 96 C8 76 6E BC 3B A9 ¦ 8B BA 91 1D 82 70 E1 A6 +Ц+vn+;йЛ¦С_Вpсж 00000520: 78 1B 22 09 F2 70 72 CB ¦ 85 C8 BC DC 62 DC F4 D9 x_".Єpr-Е++_b_Ї+ 00000530: B6 E0 0E CB 6E AD 1B B9 ¦ 4C ED 44 A2 A2 0C CA 2D ¦р-nн_¦LэDвв--.. 00000540: 51 B4 27 6E E6 17 72 10 ¦ 7C 79 29 EF E4 A5 08 A0 Q¦'nц_r_|y)яфе_а 00000550: 5C 5C B7 FA 73 DF CC 9F ¦ CB AA A8 8C E0 82 25 84 \\+·s_¦Я-киМрВ%Д 00000560: 7E DA 16 34 8A 86 6C 52 ¦ 2D 8F F2 FB 2A C7 E9 85 ~+.4КЖlR-ПЄ_*¦щЕ 00000570: B8 9E F3 45 D9 1A 57 5E ¦ E1 A2 67 37 E4 D7 71 A2 +ЮєE+_W^свg7ф+qв 00000580: B6 1B B9 C3 79 5D CA 2F ¦ AF 44 A2 20 65 F2 24 9B ¦_¦+y]-/пDв eЄ$Ы 00000590: BC 83 D4 34 05 7E FA AA ¦ 83 F4 AF EA 72 93 BB 57 +Г+4_~·кГЇпъrУ+W
Листинг 7.12
Таким образом, для выбранного специалистами фирмы "Рога и Копыта" способа шифрования (то есть однократного шифрования равновероятной гаммой) существуют вполне приемлемые условия, при которых может быть использован по крайней мере один способ подделки сообщений. А это уже весьма ощутимый результат, который может оказаться "последней ошибкой".
Аналогичным и еще более простым с точки зрения криптоанализа примером является шифрование методом однократного гаммирования электронных почтовых сообщений.
Сообщения электронной почты в сети Интернет передаются (как и многие другие данные простых сетевых протоколов прикладного уровня) в текстовом виде, приемлемом для анализа невооруженным взглядом. В листинге 7.13 представлен пример почтового сообщения в том виде, в котором оно путешествует в сети от компьютера к компьютеру. А листинг 7.14 содержит то же самое сообщение, но так, как его видит рядовой пользователь.
From POPmail Tue Nov 17 18:45:15 1998 (with Netcom Interactive pop3d (v1.21.1 1998/05/07) Wed Nov 18 02:39:15 1998) X-From_: seg@crow.sec.gov Tue Nov 17 20:36:28 1998 Received: from crow.sec.gov (crow.sec.gov [204.192.28.11]) by multi33.netcomi.com (8.8.5/8.7.4) with ESMTP id UAA32707 for ; Tue, 17 Nov 1998 20:36:28 -0600 Received: (from seg@localhost) by crow.sec.gov id VAA01882 for fc@all.net; Tue, 17 Nov 1998 21:37:15 -0500 From: Joe Segreti Message-Id: <199811180237.VAA01882@crow.sec.gov> Subject: Ответ на пpедложение To: fc@all.net Date: Tue, 17 Nov 1998 21:37:14 -0500 (EST) X-Mailer: ELM [version 2.4 PL25 PGP7] MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Добpого вpемени суток! Уважаемые коллеги, пpедлагаем вам следующую фоpму сотpудничества. …
Листинг 7.13
Date: Tue, 17 Nov 1998 21:37:14 -0500 (EST) From: Joe Segreti To: fc@all.net Subject: Ответ на пpедложение Добpого вpемени суток! Уважаемые коллеги, пpедлагаем вам следующую фоpму сотpудничества. …
Листинг 7.14
И в том и в другом случае в сообщении остается много служебных слов, которые используются почтовым программным обеспечением для доставки сообщения адресату. Например, ключевое слово Date: и следующая за ним дата отсылки письма является обязательным атрибутом любого письма. И точно так же, как подвергся анализу текстовый файл формата MSWord, мы можем подвергнуть пристальному изучению это электронное сообщение, подставив, к примеру, другую дату отсылки письма или изменив приветствие и подпись .
Собственно говоря, все приведенные примеры и недостатки и есть ответ на вопрос, почему почти никто не пользуется методом однократного гаммирования - все зависит от того, как именно это делается и какими ресурсами обладает пользователь шифросистемы.
Использование открытых стандартов для интеграции средств защиты разных производителей
Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня. Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности. Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.
Более подробную информацию вы можете найти на сайте корпорации Uni:
Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети. Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов. Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу. В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:
Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan).
Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:
CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки,
UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам
SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений,
LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1,
OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.
Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.
Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.
Более подробную информацию вы можете найти на сайте корпорации Uni:
Использование протокола ODBC
Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.
ИСТОРИЧЕСКИЕ ЗАМЕТКИ
История стеганографии - это история развития человечества. Местом зарождения стеганографии многие называют Египет, хотя первыми "стеганографическими сообщениями" можно назвать и наскальные рисунки древних людей. Первое упоминание о стеганографических методах в литературе приписывается Геродоту, который описал случай передачи сообщения Демартом, который соскабливал воск с дощечек, писал письмо прямо на дереве, а потом заново покрывал дощечки воском. Другой эпизод, который относят к тем же временам - передача послания с использованием головы раба. Для передачи тайного сообщения голову раба обривали, наносили на кожу татуировку, и когда волосы отрастали, отправляли с посланием. В Китае письма писали на полосках щелка. Поэтому для сокрытия сообщений, полоски с текстом письма, сворачивались в шарики, покрывались воском и затем глотались посыльными. Темное средневековье породило не только инквизицию: усиление слежки привело к развитию как криптографии, так и стеганографии. Именно в средние века впервые было применено совместное использование шифров и стеганографических методов. В XV веке монах Тритемиус (1462-1516), занимавшийся криптографией и стеганографией, описал много различных методов скрытой передачи сообщений. Позднее, в 1499 году, эти записи были объединены в книгу "Steganographia", которую в настоящее время знающие латынь могут прочитать в Интернет. XVII - XVIII века известны как эра "черных кабинетов" - специальных государственных органов по перехвату, перлюстрации и дешифрованию переписки. В штат "черных кабинетов", помимо криптографов и дешифровальщиков, входили и другие специалисты, в том числе и химики. Наличие специалистов-химиков было необходимо из-за активного использования так называемых невидимых чернил. Примером может служить любопытный исторический эпизод: восставшими дворянами в Бордо был арестован францисканский монах Берто, являвшийся агентом кардинала Мазарини. Восставшие разрешили Берто написать письмо знакомому священнику в город Блэй. Однако в конце этого письма религиозного содержания, монах сделал приписку, на которую никто не обратил внимание: "Посылаю Вам глазную мазь; натрите ею глаза и Вы будете лучше видеть". Так он сумел переслать не только скрытое сообщение, но и указал способ его обнаружения. В результате монах Берто был спасен. Стеганографические методы активно использовались и в годы гражданской войны между южанами и северянами. Так, в 1779 году два агента северян Сэмюэль Вудхулл и Роберт Тоунсенд передавали информацию Джорджу Вашингтону, используя специальные чернила. Различные симпатические чернила использовали и русские революционеры в начале XX века, что нашло отражение в советской литературе: Куканов в своей повести "У истоков грядущего" описывает применение молока в качестве чернил для написания тайных сообщений. Впрочем, царская охранка тоже знала об этом методе (в архиве хранится документ, в котором описан способ использования симпатических чернил и приведен текст перехваченного тайного сообщения революционеров). Особое место в истории стеганографии занимают фотографические микроточки. Да, те самые микроточки, которые сводили с ума спецслужбы США во время второй мировой войны. Однако микроточки появились намного раньше, сразу же после изобретения Дагером фотографического процесса, и впервые в военном деле были использованы во времена франко-прусской войны (в 1870 году). Конечно, можно еще упомянуть акростихи и другие языковые игры. Однако описать все изобретенные человечеством стеганографические методы нам не позволит объем данной публикации.
История создания криптокарты Fortezza
Технология "Fortezza Cryptographic Card", разработанная вАНБ США, представляет собой стандартное устройство PC-card (раньше этостандарт назывался PCMCIA), предназначенное для реализации аутентификациии шифрования в соответствии со стандартами правительства США. Карты Fortezzaприменяются в системе электронной связи Defence Message System (DMS) МОСША, в поисковой системе Intelink разведывательного сообщества правительстваСША, использующей технологии WWW, а также в других правительственных системах[5]. Работы по созданию Fortezza были начаты в 1991 году в рамках программыPre Message Security Protocol (PMSP) [6]. Перед специалистами АНБ былапоставлена задача разработать технологию защиты информации, не имеющейгрифа секретности, но являющейся служебной тайной организации. Первоначальнойцелью этого проекта являлось создание недорогого устройства, выполненногов стандарте "smart card" и обеспечивающего: целостность данных,шифрование данных, идентификацию и аутентификацию источника данных. Кромеэтого, необходимо было предусмотреть возможность совместимости с существующимистандартами (например, с протоколом распространения ключей X.509), обеспечитьработу мобильных пользователей, предоставить средства расширяемости архитектурыдля поддержки потенциально большого числа пользователей (до 4-х миллионов).Первоначальными областями применения технологии Fortezza виделись защитаэлектронной почты и другого электронного информационного обмена, осуществляемогопо открытым каналам связи, а также контроль доступа к системам и их компонентам.
За время развития технология несколько раз меняла свое название. Какуже говорилось, в 1991 году программа Fortezza называлась Pre Message SecurityProtocol, а само криптографическое устройство разрабатывалось в соответствиисо стандартом "smart card". В 1993 году название программы былоизменено на "MOSAIC", тип криптографического устройства измененна PC Card, а сама PC-карта получила название "Tessera Crypto Card".Затем, в 1994 году, программа была влита в объединенный проект АНБ и Агентстваинформационных систем МО США (DISA) Multi-Level Information Systems SecurityInitiative (MISSI). После этого название технологии было изменено на "Fortezza"и PC-карта переименована в "Fortezza Crypto Card". Технология Fortezza обладает двумя важными свойствами, делающими возможнымее широкое распространение (если только это распространение не оказываетсяв сфере действия экспортных ограничений). Первым таким свойством является"персонализация" средств обеспечения безопасности. Каждый пользовательснабжается индивидуальным криптографическим устройством, PC-картой. ЭтаPC-карта содержит уникальную для каждого конкретного лица ключевую информациюи связанные с ней данные, а также выполняет заложенные в нее криптографическиеалгоритмы. Создатели карты Fortezza проделали большую работу по разработкесложной системы генерации, распределения и управления криптографическимиключами. Особое внимание было уделено контролю целостности данных картыи распространению требуемой криптографической и системной информации. Вторым свойством является наличие открытого прикладного программногоинтерфейса (API). Аппаратные и программные спецификации карты разрабатывалисьс учетом требований к открытой системе. Это позволяет осуществлять простуюинтеграцию технологии Fortezza в большинство аппаратных платформ, коммуникационныхсредств, операционных систем, пакетов прикладных программ и сетевых протоколови архитектур. Кроме этого, подход Fortezza избавляет разработчиков программныхсредств от необходимости встраивать в прикладные программы сложные криптографическиеподсистемы. Достаточно воспользоваться PC-картой Fortezza, которой можноуправлять через API CI_Library [7].
История версий
Версия 0.3, 1 января 1999 года
Небольшие изменения Версия 0.2, 1 ноября 1998 года
Небольшие изменения Версия 0.1, 1 августа 1998 года
Первая версия
Изначальная конфигурация.
Изначально МЭ не содержит никаких сетевых
пользователей, все сетевые сервисы закрыты. В первую очередь
необходимо в соответствии с политикой безопасности сети определить
защищаемый интерфейс, правила приема/передачи электронной почты.
По умолчанию системный журнал сконфигурирован таким образом, что
в него записываются:
сообщения ядра
сообщения о состоянии файловой системе
все попытки доступа ко всем сетевым сервисам
все факты использования МЭ
все факты, связанный с аутентификацией пользователей
Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:
адрес инициатора соединения
адрес удаленной стороны
время события
начала сессии
конец сессии
количество переданных байт
количество принятых байт
использование тех или иных специальных параметров протокола
результаты аутентификации пользователя
попытки смены пароля и иного общения с системой авторизации
Для защиты самого МЭ используются следующие механизмы:
ограничение доступа по узлам файловой системы (UNIX chroot)
отсутствие пользователей на МЭ
система контроля целостности программ и ключевых файлов
Управление пользователями МЭ позволяет:
определить способ аутентификации для каждого пользователя отдельно
создавать группы пользователей
определять для каждого пользователя/группы время работы
определять для пользователя/группы использование тех или иных протоколов
в зависимости от времени суток, адреса источника и destination.
определять по правилам предыдущих пунктов возможность использования
конкретных параметров и управляющих директив протоколов.
устанавливать для пользователей право изменения пароля
МЭ поддерживает два основных режима работы - прозрачный и обычный.
при использовании обычного режима порядок действий пользователя для
соединения с машиной по другую сторону МЭ выглядит следующим образом:
соединяется с МЭ
проходит авторизацию (в зависимости от политики безопасности)
дает команду proxy на соединение с удаленной машиной
Второй пункт обычно используется в случае доступа со стороны открытой
сети, доступ изнутри наружу может быть разрешен без дополнительной
авторизации. Работа в прозрачном режиме выглядит так:
дается команда на соединение с внешней машиной
авторизация
Т.е. при доступе из сети, не требующей авторизации, пользователь просто
соединяется куда пожелает, и наличие МЭ ему не видно.
При работе в любом режиме действуют все правила, определенные администратором
МЭ
Известные свободно распространяемые проекты
Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.
Январь
Первая проблема возникла
в самую первую секунду года. Добавление лишней секунды создало
трудности для программного обеспечения, управляющего распространением
единого всемирного времени из Национального института стандартов
и технологий (NIST) США. Лишняя секунда заставила добавить к дате
целый лишний день (см. ). Подождите до 2000
года, если хотите увидеть настоящие проблемы, связанные с календарями
и часами.
С начала января и до конца
февраля во всем мире продолжали критиковать запрет на доступ через
CompuServe к двумстам телеконференциям Usenet, наложенный в конце
1995 года в качестве дикой, явно неадекватной реакции на запрос
баварского прокурора по поводу информации о телеконференциях,
незаконных с точки зрения действующего в южных землях Германии
законодательства. CompuServe, неспособный закрыть доступ к этим
телеконференциям для части своих пользователей, "поставил
шлагбаум" для всех 4 миллионов подписчиков во всем мире.
К концу февраля было реализовано выборочное блокирование, позволившее
отключить от крамольных телеконференций только заданные географические
области. Пикантность ситуации со всеми этими запретами состоит,
однако, в том, что существуют общеизвестные методы доступа к телеконференциям
Usenet по электронной почте. В более широком плане можно вывести
следующую мораль: наблюдается растущая тенденция налагать местные
(провинциальные или национальные) ограничения на доступ к тем
или иным частям Интернет. (Более детальную информацию можно найти
в ).
В начале года в "Wall
Street Journal" было опубликовано сообщение о том, что первое
санкционированное судебными властями прослушивание коммерческого
поставщика Интернет-услуг привело к аресту трех лиц по обвинению
в мошенническом использовании услуг сотовой связи. Эти лица рекламировали
свою деятельность через CompuServe (см. "Wall Street Journal",
2 января 1996 года, с. 16).
22 января по немецкому
телевидению выступил член компьютерного клуба "Хаос"
(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные
с передачей в открытом виде по системе T-Online персональной банковской
информации. Хакер (между прочим, не криминальный хакер) подключился
к домашней телефонной линии, воспользовавшись незапертой коммутационной
панелью в подвале жилого дома. Он перехватил идентификатор и персональный
идентификационный код пользователя, после чего разорвал соединение
и немедленно перевел сумму в 5 тысяч немецких марок на другой
счет. Прежде чем провести публичную демонстрацию, члены клуба
"Хаос" предупреждали банкиров и их клиентов, что во
всей коммуникационной сети финансовых учреждений, начиная с настольных
систем, данные должны передаваться в зашифрованном виде (см. ). Должен отметить, что я встречался с одним из ведущих членов
компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на
меня произвела глубокое впечатление его несомненная приверженность
некриминальному хакерству. Я надеюсь, что все большее число криминальных
хакеров будут следовать примеру членов клуба "Хаос",
выбирая для себя ответственный, цивилизованный стиль поведения.
Matt Blaze, Whitfield
Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric
Thompson и Michael Wiener опубликовали доклад "Минимальная
длина ключа при симметричном шифровании, обеспечивающая адекватную
безопасность коммерческих систем". Авторы утверждают, что
симметричное шифрование с длиной ключа 40 бит более не способно
противостоять атакам методом грубой силы, и даже 56-битные ключи
на самом деле не могут считаться надежными. Для современных систем
настоятельно рекомендуется минимальная длина ключа в 75 бит. С
учетом роста вычислительной мощности в ближайшие 20 лет, нужны
как минимум 90-битные ключи. Полный текст этого доклада доступен
по адресам (формат
PostScript) и
(ASCII-формат).
Еще несколько сообщений
от группы NCSA IS/Recon:
В Нидерландах разразился
политический скандал, связанный с обвинениями в прослушивании
в центральном банке. Вся деятельность персонала контролировалась
без уведомления или получения разрешения.
Гражданин России Алексей
Лачманов признал себя виновным в участии в "электронном ограблении"
Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном
математиком и криминальным хакером из Санкт-Петербурга Владимиром
Левиным.
Dan Farmer, автор
программы SATAN, проверяющей безопасность систем, подключенных
к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую
и стандартную версии операционной системы (что может быть полезным
для идентификации заплат и выявления внедренного вредоносного
программного обеспечения). Характерно, что новую программу он
назвал "FUCK". Вероятно, ни один из пользователей сети
America Online (AOL) не сможет обратиться к этой программе по
имени в силу действующей там автоматической фильтрации непристойностей...
Ассоциация британских
страховых компаний выпустила доклад, в котором утверждается, что
компьютерная преступность наносит индустрии ежегодный ущерб в
сумме около 1 миллиарда фунтов.
Barry Jaspan нашел
ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает
возможность пользователям извлекать из памяти секретные RSA-ключи,
что компрометирует всю систему безопасности компьютера. Для выявления
"дыры" потребовалось 20 минут, и это наводит на мысль
о большом числе оставшихся ошибок, которые Барри мог бы найти,
будь у него еще немного времени.
Представители Lotus
объявили, что в продукте Lotus Notes теперь будут использоваться
циркулирующую в рабочих группах. Защитники права на персональную
тайну предупреждают, что данное действие является отходом от оппозиции
к инициативе администрации Клинтона по внедрению составных ключей.
Напомним, что инициатива президентской администрации получила
негативную оценку в промышленных кругах.
Компания MCI объявила,
что с этого времени она будет закрывать счета пользователей, засоряющих
Интернет (то есть посылающих невостребованные письма большого
размера или заполняющих телеконференции неподходящими сообщениями).
Наблюдатели гадают по поводу того, кто будет решать, какие сообщения
подпадают под действие этих расплывчатых правил.
Языки описания уязвимостей и проверок
Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange). Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX). В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing). Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:
# Секция описания сервисов: На анализируемом узле найден netstat
port 15 using protocol tcp => Service:Info-Status:netstat
Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.
# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.
(scanfor "SuperApp 1.0" on port 1234) (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003
Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).
Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.
Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.
Эксперты дискутируют о настоящем и будущем систем обнаружения атак
Computer Security Journal vol. XIV, #1
Ричард Пауэр (Richard Power)
перевод Алексея Лукацкого, НИП "Информзащита" Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии. Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.
Электронные подписи и временные метки
Электронная подпись позволяет проверять целостность данных, но не обеспечивает их конфиденциальность. Электронная подпись добавляется к сообщению и может шифроваться вместе с ним при необходимости сохранения данных в тайне. Добавление временных меток к электронной подписи позволяет обеспечить ограниченную форму контроля участников взаимодействия.
Тип
Комментарии
DSA (Digital Signature Authorization)
Алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования.
Секретное создание хэш-значения и публичная проверка ее - только один человек может создать хэш-значение сообщения, но любой может проверить ее корректность. Основан на вычислительной сложности взятия логарифмов в конечных полях.
RSA
Запатентованная RSA электронная подпись, которая позволяет проверить целостность сообщения и личность лица, создавшего электронную подпись.
Отправитель создает хэш-функцию сообщения, а затем шифрует ее с использованием своего секретного ключа. Получатель использует открытый ключ отправителя для расшифровки хэша, сам рассчитывает хэш для сообщения, и сравнивает эти два хэша.
MAC (код аутентификации сообщения)
Электронная подпись, использующая схемы хэширования, аналогичные MD или SHA, но хэш-значение вычисляется с использованием как данных сообщения, так и секретного ключа.
DTS (служба электронных временных меток)
Выдает пользователям временные метки, связанные с данными документа, криптографически стойким образом.
Элементы защиты от несанкционированного доступа
IP Spoofing - способ воздействия на элементы сетевой инфраструктуры или получения не авторизованного доступа. В этом случае взломщик подменяет IP адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Для примера, пакеты, порожденные в Интернет, могут выглядеть как локальные пакеты. FireWall-1 защищает от подобного рода воздействий, легко распознает такие попытки и сообщает о них оператору. Denial of Service Attack - использует слабости TCP протокола. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. Получив такое подтверждение, клиент посылает уведомление о начале передачи данных – пакет, в TCP заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), например, на несуществующий в Интернет, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак.
Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Таким образом, шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры тоже не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-1 предлагает встроенную защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений и используя механизм SYNDefender. Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто связано с появлением новых видов атак. Так, большинство ОС чувствительны к PING (ICMP), размер поля данных которых больше, чем 65508. В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64k (длинна заголовка составляет 28 байт) и, как правило, не могут правильно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.
FireWall-1, обладая механизмом Stateful Inspection, может осуществлять защиту от таких атак, для чего необходимо определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP пакетов, длиннее 64K. [ZEBR_TAG_a name="stealth the firewall"
Этапы сканирования
Практически любой сканер проводит анализ защищенности в несколько этапов:
Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).
Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.
Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.
В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности: Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.
Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check".
Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы.
Все из вышеназванного.
Юридические аспекты криптографии
Использование криптографических средств в России регулируется
Для тех, кому лень читать этот бред, перескажу его основную мысль: использование шифровальных средств, не имеющих сертификата ФАПСИ, запрещено. Т.е. запрещено использование PGP, Pkzip с паролем, эзопова языка и проч. Что вполне естественно: Российское государство всегда очень волновалось, если не могло подглядеть или подслушать то, о чем говорят его граждане.
Поскольку большинство граждан РФ, желающих использовать криптографию, указ этот игнорирует и будет игнорировать, автор счел своим долгом обсудить возможные последствия таких действий.
Уголовный Кодекс РФ не содержит статьи, по которой можно было бы привлечь к ответственности нарушителя вышеупомянутого Указа Президента. Таким образом речь может идти только об административном правонарушении.
Поскольку Конституция РФ гарантирует тайну переписки, отслеживание электронной корреспонденции на предмет содержания шифрованного текста без санкции прокурора или решения суда является актом незаконным. Таким образом доказательство вашей вины получено незаконным путем, и теоретически судом рассмотрено быть не может.
Более того, согласно статье 272 УК РФ "Неправомерный доступ к охраняемой законом компьютерной информации... если это деяние повлекло... копирование информации...совершенное группой лиц по предварительному
сговору или организованной группой либо лицом с использованием
своего служебного положения... наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет,
либо арестом на срок от трех до шести месяцев, либо лишением
свободы на срок до пяти лет." Поскольку наша почта - это явно охраняемая законом компьютерная информация, а ФАПСИ и ФСБ - это, возможно, организованная группа, копирование нашей почты является деянием, способным повлечь за собой длительную отсидку.
К вопросу о терминологии в криптографии авторы книги стараются относиться весьма деликатно. На сегодняшний день в России существует одна из самых сильных криптографических школ в мире - наследие СССР. Советские криптоаналитики еще долго будут считаться одними из самых сильных специалистов в этой области. Соответственно наработаны и терминология, и большинство принципов таксономии, в том числе и адекватное переложение и адаптация на русский язык вновь появляющихся иностранных терминов. Тем не менее вся эта информация до последнего времени была конфиденциальной и строжайше охранялась. Само слово "криптография" не вызывало никаких ассоциаций у подавляющего большинства математиков и специалистов по связи. Если необходимо было "закрыть" канал связи, то использовалась специальная аппаратура, которая представлялась для конечных пользователей "черным ящиком", в который надо было лишь воткнуть проводки, нажать на определенные кнопки и повернуть ручки. С начала 90-х годов ситуация резко изменилась. Выпущено уже несколько сотен различных изданий по теме информационной безопасности, в том числе и по криптографии. Множество книг переведены с иностранных языков, каждый месяц появляются книги русских авторов по прикладной и теоретической криптографии. К сожалению, количество выпускаемых книг не всегда сопровождается качеством. И особое внимание необходимо уделять именно тому, как вольно обращаются с терминами новоиспеченные "криптоматематики". Некоторые авторы "книг по криптографии" не имеют никакого отношения даже к математике, не говоря уж о кодах и шифрах. Потому и выходят казусы с "шифрацией", "криптованием" и "дешифрированием" данных. Конечно, никто не застрахован от возможных нелепостей и казусов, связанных с написанием, редактированием, версткой, макетированием и печатью больших объемов текста. Поэтому авторы просят осведомленных читателей отнестись с пониманием к возможным техническим "ляпам". А для того чтобы избежать технических накладок, авторы предлагают считать верными следующие трактовки зарубежных и отечественных терминов:
криптографическая атака (cryptoanalitic attack) - попытка криптоаналитика вызвать отклонения от нормального проведения процесса конфиденциального обмена информацией. Соответственно взлом или вскрытие, дешифрование шифра или шифросистемы - это успешное применение криптографической атаки;
криптоанализ (cryptanalysis) и криптоаналитик (cryptanalytic) - соответственно набор методик и алгоритмов дешифрования криптографически защищенных сообщений, анализа шифросистем и человек, все это осуществляющий;
дешифрование (deciphering) и расшифрование (decryption) - соответственно методы извлечения информации без знания криптографического ключа и со знанием оного. Термин "дешифрование" обычно применяют по отношению к процессу криптоанализа шифротекста (криптоанализ сам по себе, вообще говоря, может заключаться и в анализе шифросистемы, а не только зашифрованного ею открытого сообщения);
криптографический ключ (cryptographic key, cryptokey, иногда просто key) - в случае классических криптосистем секретная компонента шифра. Должен быть известен только законным пользователям процесса обмена информации;
зашифрование (encryption) - процесс зашифрования информации, то есть применения криптографического преобразования данных, эту информацию содержащих;
аутентичность данных и систем (authenticity of information) - для данных аутентичность можно определить как факт подтверждения подлинности информации, содержащейся в этих данных, а для систем - способность обеспечивать процедуру соответствующей проверки - аутентификации данных;
аутентификация (authentication) - процедура проверки подлинности данных, то есть того, что эти данные были созданы легитимными (законными) участниками процесса обмена информации;
гамма-последовательность или просто гамма (gamma sequence, gamma) - обычно этот термин употребляется в отношении последовательности псевдослучайных элементов, которые генерируются по определенному закону и алгоритму. Однако в случае, когда это не так, употребляется модификация термина - например, "равновероятная гамма" или "случайная гамма" - для обозначения последовательностей, элементы которых распределены по равномерному вероятностному закону, то есть значения имеют сплошной спектр;
гаммирование (gamma xoring) - процесс "наложения" гамма-последовательности на открытые данные. Обычно это суммирование в каком-либо конечном поле (например, в поле GF(2) (см. [4, 6 и 9]) такое суммирование принимает вид обычного "исключающего ИЛИ" суммирования);
имитозащита - это защита данных в системах их передачи и хранения от навязывания ложной информации. Имитозащита достигается обычно за счет включения в пакет передаваемых данных имитовставки;
имитовставка - блок информации, вычисленный по определенному закону и зависящий от некоторого криптографического ключа и данных;
блочные (блоковые) и поточные (потоковые) шифры - авторы сознательно используют термин "блочный" шифр, а не "блоковый", как наиболее популярный и устоявшийся. Понятия "поточного" и "потокового" шифров идентичны и одинаково популярны, однако в силу симметрии авторы предпочитают использовать термин "поточный шифр", но "потоковая обработка информации";
криптографическая стойкость, криптостойкость (cryptographic strength) - устойчивость шифросистемы по отношению ко всем известным видам криптоанализа;
принцип Керкхоффа (Kerchkoff) - принцип изобретения и распространения криптографических алгоритмов, в соответствии с которым в секрете держится только определенный набор параметров шифра (и в обязательном порядке криптографический ключ), а все остальное может быть открытым без снижения криптостойкости алгоритма. Этот принцип был впервые сформулирован в работе голландского криптографа Керкхоффа "Военная криптография" вместе с дюжиной других, не менее известных (например, о том, что шифр должен быть удобным в эксплуатации, а также о том, что шифр должен быть легко запоминаемым);
развертывание или разворачивание ключа (key shedule) - процедура вычисления последовательности подключей шифра из основного ключа шифрования;
раунд или цикл шифрования (round) - один комплексный шаг алгоритма, в процессе которого преобразовываются данные;
подключ шифрования (round key, subkey) - криптографический ключ, вычисляемый и используемый только на этапе шифрования из основного ключа шифрования. Обычно применяется в качестве входа функций усложнения на различных раундах шифрования;
шифр и шифросистема (cipher, cypher, ciphercode) - обычно выход криптосистемы и сама симметричная криптосистема соответственно. В зависимости от контекста шифр может обозначает "шифровку", то есть зашифрованное с его помощью сообщение, либо саму криптографическую систему преобразования информации.
Как я должен ответить, когда мне
В списке рассылки по системам обнаружения атак как-то спросили, как они должны ответить на следующий e-mail: Ниже показана запись журнала регистрации, говорящая о соединение по протоколу Telnet с компьютера из Вашего домена. Компьютер, с которым осуществлялось соединение, не предоставляет этот сервис для общего пользования, так что эта попытка может говорить об осуществлении поиска уязвимых узлов. Мы относимся к этой проблеме очень серьезно и надеемся на аналогичную реакцию с Вашей стороны. Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx
Эта запись была сгенерирована TCP Wrappers. Она показывает попытку несанкционированного доступа с вашего компьютера на указанный узел. В любом случае - это доказательство зондирования, но не атаки. Кроме того, никаких других доказательств нет. Как подчеркнуто Грэгом Дрю существует ряд благоприятных причин:
Кто-то напечатал "telnet xx.xx.xx.xx" и IP-адрес неправильно напечатан.
Кто-то хотел напечатать "telnet xx.xx.xx.xx 25" для соединения со службой SMTP для осуществления спама или иных действий. Этот кто-то мог забыть указать "25" или неправильно набрать номер порта.
Кто-то мог фактически зондировать целевые компьютеры в ответ на спам. Я лично для отслеживания источника спама просматриваю информацию finger, rusers и т.д.
Возможно, была зафиксирована обычная ошибка.
Имеются и другие менее вероятные возможности:
Ваш сервер уже может быть скомпрометирован и хакер сканирует целевой компьютер с скомпрометированного компьютера.
Один из ваших сотрудников использует указанный компьютер для того, чтобы атаковать целевой компьютер (я работал в компании, в которой случалось такое).
Существует и другая возможность: эта была попытка атаки типа "социальный инжиниринг". При помощи данного сообщения кто-то пытается войти с Вами в контакт, чтобы узнать, какие действия Вы предпринимаете по этому поводу. Если Вы сделаете так, то поможете злоумышленнику много нового узнать о Вашей сети:
Законный IP-адрес целевого компьютера (хотя он не так интересен).
Ваш собственный IP-адрес (вышеупомянутое сообщение было послано postmaster'у или иному известному адресату, но скорее всего ответите на него с Вашего собственного адреса).
Ваш уровень готовности: если Вы ответили "мы не можем принять соответствующие меры, потому что у нас нет регистрационных файлов", то нарушитель понимает, что Вы лакомый кусок для атак.
Это может быть "спам типа социальный инжиниринг". Отправителем сообщения может быть компания, продающая системы обнаружения атак.
Есть и положительные стороны от такого письма (особенно если вы не нашли ему подтверждения). Вы сможете проверить насколько эффективно работает ваша система регистрации и аудита. Если она отключена, то настало время включить ее.
Как я могу улучшить обнаружение атак/защиту под ОС Windows 95/Windows 98?
В этой части предполагается, что вы являетесь домашним пользователем, использующим Win95/Win98 для доступа к сети Интернет. Win95/Win98 не имеет возможностей аудита или создания регистрационных записей, вам действительно потребуется обновить ее до WinNT, если вы используете систему для каких-либо серьезных целей. Установите самые последние патчи (несомненно). Отключите совместное использование принтера. Когда совместное использование принтера включено, система создает разделяемый ресурс PRINTER$, который позволяет удаленным системам получать доступ к драйверам принтера из локальной директории system32. К сожалению, это позволяет удаленным системам получать доступ и к другим файлам, не имеющим никакого отношения к драйверам, таким как файл паролей Windows 95 (комбинированный с другими ошибками Win95). Отключите совместное использование ресурсами. Как домашнему пользователю, вам, вероятно, не следует этого делать. Если вы должны сделать файлы доступными для совместного использования, убедитесь, что вы выбрали надежный пароль, и включайте его только на короткие моменты, когда вам необходимо делать файлы открытыми для совместного использования, затем отключайте его снова. (еще больше информации будет потом) Джон Козубик предлагает следующие меры по защите корпоративных пользователей. Т.к. ОС Windows 95/98 очень уязвимы, то они обеспечивают базовую площадку для проникновения на другие компьютеры сети. Windows 95 кэширует пароли в легко читаемом формате, поэтому файлы, содержащие эти пароли должны быть удалены. del c:\windows\*.pwl Файл кэшированных паролей будет первым, что ищут злоумышленники. Он имеет то же самое имя, что и пользователь, и кроме того плохо защищает хранимые пароли. Для запрета кэширования запустите: REGEDIT /s \\MY_PDC\netlogon\nocache.reg где, "nocache.reg" содержит: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network] "DisablePwdCaching"=dword:00000001
Как я могу усилить обнаружение атак/защиту под ОС UNIX?
Не инсталлируйте больше сервисов, чем надо. Я установил все из моего RedHat Linux дистрибутива и теперь машина светится, как новогодняя елочка, когда я осуществляю сканирование портов. Я уже нашел несколько дыр на этой (тестовой) машине, которые я могу использовать для проникновения внутрь нее. Используйте 'netstat' или TCP/UDP сканер и 'rpcinfo' для получения перечня всех сервисов на вашей машине. Опять же, убедитесь, что все, что вы не совсем точно понимаете, отключено. (еще больше информации будет потом; откровенно, я давно занимаюсь администрированием Windows NT - поэтому мои профессиональные знания по Unix слабы). Прочитайте ftp://ftp.auscert.org.au/pub/auscert/papers/unix_security_checklist.
ОС Macintosh является более защищенной, чем Windows 95, которая является более защищенной, чем UNIX. Причина заключается в том, что Macintosh представляет собой систему 'конечного пользователя', и поддерживают небольшое число сервисов, которые могут быть использованы хакерами. Наоборот, UNIX-машины повально используются в качестве серверов, с несколькими приложениями конечного пользователя. Windows NT живет одновременно в двух мирах. Как результат, Macintosh занимают последнее места в списке потенциально уязвимых ОС.
Как я могу усилить обнаружение атак/защиту предприятия?
Первое и самое главное, создайте политику безопасности. Предположим, что вы наблюдаете за сетью поздно вечером и вы видите, что развивается атака. Что вы делаете? Вы позволяете атаке развиться и собираете данные? Вы отсоединяете свою сеть от Internet? Если так, вы выдергиваете штекер на МСЭ между intra- и extra- сетью? Или вы полностью отключаете соединение с сетью Интернет (препятствуя доступу пользователей на ваш Web-сервер)? Кто имеет полномочия вытаскивать штепсель? Вице-президентам корпорации необходимо четко расставить приоритеты. Давайте рассмотрим сценарий, когда вы думаете, что вас атакуют, поэтому вы вытаскиваете штепсель из розетки. Пользователи машут руками и выражают недовольство. И, оказывается, что вы ошиблись, поэтому вас собираются поджарить. Даже когда происходят явные атаки, некоторые люди вытаскивают штепсель, опасаясь таких последствий. Кража данных является понятием теоретическим, а недовольные пользователи являются очень реальными. Таким образом, вам необходима политика, которая определяет важность таких вещей и четко устанавливает процедуры, необходимые для выполнения, когда кажется, что имеет место атака. Как только вы точно определили приоритеты, вам необходимо понять технологию. Это описывается в следующей секции.
Как это бывает?
Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:
- С вами говорит администратор сети, Иван. Как вас зовут?
- Оля!..
- Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?
- А мне говорили, что чужим нельзя называть свой пароль.
- Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?
- Да, согласна.
- Тогда назови свой пароль и все будет ОК.
- Мой пароль olja.
- ОК. Спасибо за помощь.
Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом: "Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности.
Надеемся на Ваше понимание и содействие.
С уважением, служба технической поддержки сервера mail.domain.ru"
Как мне собрать достаточно доказательств о деятельности хакера?
NIDS собирает немало информации для идентификации злоумышленника. Однако высококвалифицированные хакеры используют различные методы для скрытия своего реального местоположения. Например, использования уже скомпрометированной системы в качестве площадки для дальнейших атак. Или подмена IP-адреса, что приводит к тому, что атака как бы исходит от компьютера, который даже может быть не включен. Лучше всего собирать настолько много информации, насколько это возможно. Я, например, использую программу-сниффер в своей T-1-сети и храню все журналы регистрации на диске объемом 16 Гбайт. Вы можете посчитать это забавным, но я часто просматриваю эти данные. Удивительно как много попыток TCP\UDP-сканирования я постоянно вижу. Также вы должны быть уверены, что в ваших системах "смотрящих" в Internet включена подсистема аудита и регистрации. Она поможет Вам разобраться, если вас атакуют.
Как можно создать единую политику безопасности для различных платформ?
Check Point FireWall-1 реально использует распределенную архитектуру клиент-сервер, что позволяет создавать политику безопасности в центре управления и затем автоматически распространять ее на все точки инспекции трафика. В дополнение к этому, поддерживается многопользовательский доступ к управлению системой безопасности в соответствии с назначенными привилегиями. Средства управления достаточно просты и наглядны, имеют интуитивный графический интерфейс пользователя, существенно упрощающий понимание политики безопасности.
Созданная же политика безопасности конвертируется системой в инспекционный сценарий на языке INSPECT, который затем распространяется на все необходимые узлы проверки трафика в сети. Так как язык INSPECT не зависит от платформы, любая система потенциально может выполнять функции firewall.
Как мы тестировали
Тестовый стенд состоял из одной клиентской рабочей станции, подключенной к серверу туннелирования. На другой стороне туннеля находился сервер, который мы использовали для проверки возможностей подключения и производительности. В качестве тестового сервера применялся компьютер на базе процессора Alpha (500-МГц) с памятью объемом 256 Мбайт, работающий под ОС Digital UNIX. А клиентской рабочей станцией для эмуляции рабочих характеристик типичного ноутбука пользователя, связанного с сетью по телефонной линии, служила более медленная система (ПК с 200-МГц Pentium Windows 95 OSR 2.5). Для каждого тестируемого продукта оценивались процесс инсталляции и конфигурирование клиентской рабочей станции, а также измерялась ее производительность, чтобы понять, как установка программного средства VPN влияет на работу конечного пользователя. Совместимость не тестировалась, так как на практике организации редко используют клиентское ПО одного производителя, а брандмауэр - другого. Было бы, конечно, хорошо проверить, поддерживают ли продукты в действительности то суммарное число туннелей, о котором заявляют производители, однако единственный надежный метод проведения данного теста - создание сотен тысяч рабочих станций, подключенных к корпоративной сети по коммутируемым каналам, что в лабораторных условиях невыполнимо. Поэтому мы лишь оценили воздействие VPN-шифрования на производительность работы в сети и время задержки для конечного пользователя. Для этого использовалось соединение по одному каналу сети ISDN (64 кбит/с), который давал примерно ту же задержку, что при модемной связи, но зато обеспечивал повторяемость тестовых условий. Для измерения пропускной способности и задержки на рабочей станции и сервере устанавливалось тестовое ПО, использующее протокол TCP/IP, которое позволяет измерить время задержки прохождения больших и малых IP-пакетов компрессируемых данных от рабочей станции до тестового сервера. Пропускная способность измерялась при передаче данных по протоколу TCP в однонаправленном режиме. Это достаточно типичная ситуация при скачивании по протоколу HTTP слегка сжатого файла, например графического изображения или исполняемой программы.
Как называют лиц, которые пытаются взломать или скомпрометировать систему?
Есть два слова для описания нарушителя: хакер (hacker) или взломщик (cracker). Хакер - это общее определение для человека, который хочет вмешаться в события. Добрый хакер - это человек, которому нравится проникать в собственный компьютер и который пытается понять, каким образом он работает. Злой хакер - это человек, которой нравится проникать в системы других людей. Добрые хакеры хотят, чтобы средства массовой информации прекратили обзывать всех "хакерами" и использовали вместо этого термин "взломщик". К сожалению, этого не происходит. В любом случае в этом FAQ используется термин "intruder" ("нарушитель") для обобщенного обозначения любого, кто пытается проникнуть в ваши системы. Нарушители могут быть разбиты на две категории. Outsiders - это нарушители из сети Internet, которые атакуют ваши внутренние ресурсы (удаление информации на корпоративном Web-сервере, пересылка спама через почтовый сервер и т.д.) и которые временами обходят ваш межсетевой экран (МСЭ) для того, чтобы проникнуть в вашу внутреннюю сеть. Злоумышленники могут атаковать из Internet, через модемные линии, через физическое подключение к каналам связи или из сети партнеров (поставщиков, заказчики, дилеры и т.д.). Insiders - это те, кто находится внутри Вашей сети, и имеют полный доступ к вашим серверам. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Исследования показывают, что 80% дыр защиты создаются именно insiders. Заметим, что МСЭ не обеспечивают защиты против них. Существует несколько типов нарушителей: Joy riders (Любители веселых прогулок в чужом автомобиле) из-за того, что они могут. Vandals (Вандалы) вызывают разрушения или оставляют свои следы на ваших Web-страницах. Profiteers (Спекулянты) намереваются получить прибыль от своих действий, таких как кража корпоративных данных и их продажа.
Как pешить пpоблему:
Соблюдать все пpавила безопасности, описанные ниже, и опеpативно устанавливать все испpавления пpогpамм, о котоpых вам сообщила ваша гpуппа компьютеpной безопасности или пpоизводитель ваших пpогpамм, используемых на веб-сеpвеpе.
Как правильно выбрать средство контроля за электронной почтой.
Рынок IT стремительно развивается. Новинки появляются день ото дня, и уследить за ними чрезвычайно сложно. Да и в уже существующие продукты постоянно добавляются новые функции и возможности, порой весьма экзотические. Разбираться в них просто не хватает времени. Но зачастую это и ни к чему. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру возможность разместить в документе видеоклип или включить звуковое сопровождение, могут нас лишь неожиданно порадовать. К сожалению, при выборе средств безопасности нередко даже специалисты подчиняются описанному стереотипу. Многие только в самых общих чертах представляют, для чего им необходим тот или иной продукт. В качестве примера мы будем рассматривать такую важную задачу, как построение системы контроля корпоративной электронной почты. Ее основные задачи - защита от спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием электронной почты, обнаружение вирусов и "троянских коней", блокировка передачи файлов запрещенного типа - перечислит каждый. Но когда дело доходит до внедрения, администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д. А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, стоит задуматься о том, какие цели планируется достичь в результате ее внедрения. Данный процесс должен привести к составлению правил использования тех или иных ресурсов. В сумме все эти правила составляют общекорпоративную политику безопасности. Без ее наличия любая система защиты, даже самая изощренная, окажется бесполезной тратой денег. К тому же, имея четкие представления о том, что вам нужно, проще определиться и с необходимой функциональностью продукта. Но как же подойти к подобной задаче? Ответственность за построение политики безопасности следует возложить на комиссию из представителей отделов безопасности и отделов автоматизации. Работу целесообразно начать с рассмотрения объекта, над которым производится действие. В нашем примере это будут электронные письма. Самые главные атрибуты писем - адреса отправителя и получателя. Все письма делятся на две категории (по направлению их движения): входящие и исходящие. Очевидно, что и к тем, и другим предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все более или менее понятно: весь мир делится на ваших партнеров и клиентов, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особенно осторожно, так как помимо родственников и друзей сотрудников в это множество входят и ваши конкуренты. Взаимоотношения с партнерами и клиентами тоже могут иметь разную степень доверия. Внутренние почтовые адреса организации - второй критерий отбора при построении политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Компания состоит из руководства и (по нисходящей) департаментов, управлений, отделов, отделениий, рабочих групп и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне иерархии есть начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры заключается в том, что у каждого из сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы. После того как мы определились с двумя основными критериями отбора, нам осталось выполнить еще два шага. Прежде всего придется составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализвать по следующей схеме. Вся почта организации разделяется на входящую и исходящую.
Исходящая почта может идти:
от подразделения 1 к партнеру 1, к партнеру 2 и к прочим адресам;
от подразделения 2 только к партнеру 3 и т. д.
Входящая почта может идти:
от партнера 1, партнера 2 и с прочих адресов в подразделение 1;
от партнера 3 и с прочих адресов в подразделение 2 и т. д.
Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, а те в свою очередь... и т. д., вплоть до каждого конкретного сотрудника.
Насколько глубоко придется спускаться при построении модели взаимодействия, подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической компании, каждый менеджер которого общается со своей и только со своей группой клиентов.
Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.
Второй шаг, и это заключительный этап в построении рассматриваемой политики безопасности, состоит в наложении ограничений на разрешенные почтовые взаимодействия. В отличие от скучного описания схемы взаимодействия на предыдущем шаге - это процесс творческий. Конкретные ограничения необходимо разместить на каждой ветви построенного дерева.
Для выработки таких правил, вероятно, придется пообщаться с различными категориями людей. Но прежде всего по поводу ограничений на исходящую информацию стоит посоветоваться с руководителями соответствующих структурных подразделений и представителями отдела безопасности, чтобы они составили перечни слов и выражений, характерных для конфиденциальной или другой информации, выход которой за пределы компании нежелателен. Решения "под копирку" здесь не подойдут. К примеру, появление в письмах слов "вакансия", "резюме" и т. п. типично для переписки отдела кадров, но в переписке других отделов это может означать, что один из сотрудников занялся поиском работы на стороне, и к нему, возможно, отныне стоит относиться с недоверием. Необходимо помнить и о разумности накладываемых ограничений. Установление излишних запретов приведет к тому, что впоследствии администраторы безопасности не смогут выделить настоящие нарушения в ворохе блокированных по пустым подозрениям писем.
После уточнения этих параметров, необходимо проконсультироваться у системных администраторов относительно прочих нежелательных характеристик почтовых сообщений: например, их размера, наличия вложений определенного типа и т. д. Таким образом можно ограничить поступление в корпоративную сеть спама и прочего непродуктивного трафика (видеоклипов, картинок, аудиофайлов, рассылок от различных развлекательных сайтов).
Даже если вы ознакомите с принятой политикой безопасности всех своих сотрудников, то это не значит, что все будут беспрекословно ее соблюдать. Всегда найдутся те, кто попытается обойти новую систему. А может быть, вы хотите внедрить данное средство незаметно для пользователей? В любом из этих случаев важно не только обнаружить факт нарушения, но и предусмотреть ответную реакцию на такое событие. Реагирование может предусматривать полное или временное блокирование письма-нарушителя, занесение записи о событии в журнал регистрации, оповещение о нем администратора или другого уполномоченного лица либо уведомление самого пользователя - выбор зависит от возможностей конкретного средства.
В результате можно составить следующее мнемоническое правило политики безопасности для электронной почты: "Кому, откуда/куда запрещено получать/отправлять письма, удовлетворяющие условию, и как реагировать на такие события".
После того как четко определены все требования, вы сможете оценить необходимую функциональность средства для контроля содержимого электронной почты либо удостовериться в достаточности встроенных функций уже используемого межсетевого экрана или вскоре приобретаемой системы обнаружения атак для реализации вашей политики безопасности.
Естественно, что конкретные ограничения будут постоянно подвергаться корректировке, но наличие грамотно построенной политики безопасности поможет легко адаптировать ваше средство к любым жизненным испытаниям.
Быть может, кто-то спросит, зачем средства контроля содержимого необходимы именно мне? Сомневающимся в их практической полезности имеет смысл рассмотреть следующие соображения.
Вспомните, сколько времени ваша система бездействовала после последнего сбоя в результате активизации полученного по почте вредоносного кода и оцените свои прямые и потенциальные потери от этого. А все ли ваши сотрудники довольны работой и зарплатой? Не переманивают ли кого-нибудь конкуренты, и не пересылает ли он будущим работодателям, в знак своей преданности, конфиденциальные материалы, среди которых фрагменты исходных кодов программ, которые вы создали с огромным трудом (текстов договоров, сведений о планируемых сделках и т. п.)? А вдруг сотрудник использует в переписке с партнерами ненормативную лексику, да еще по отношению к вашим конкурентам или политическим деятелям, и кто-то потом выдает это за официальное мнение компании? А что, если деньги компании уходят на оплату рабочего времени сотрудников, когда они просматривают видео или прослушивают аудиофайлы, которыми обмениваются со своими знакомыми и между собой.
Если вы уже решились на внедрение тех или иных средств защиты, то, надеюсь, что эта статья поможет использовать их на полную мощность.
Михаил Савельев - ведущий специалист НИП "Информзащита". С ним можно связаться по адресу: .
Как работает Java?
В основе технологии Java лежит клиент-серверная модель, а Java-программа состоит из нескольких блоков, каждый из которых выполняет определенную часть общей задачи. На стороне клиента присутствуют только те блоки, которые необходимы в данный момент. Причем наиболее часто используемые блоки хранятся в кэше на жестком диске или в оперативной памяти компьютера пользователя. Поскольку блок загружается с сервера, то и управлять такой системой можно с сервера, т. е. централизованно. Это также гарантирует, что пользователь всегда будет использовать самую последнюю версию программы. Основной компонент этой технологии - виртуальный Java-процессор, который представляет собой среду для исполнения Java-команд, или так называемых байт-кодов. Любая Java-программа должна соответствовать спецификации виртуального Java-процессора, которая полностью определяет систему команд Java, типы данных, обрабатываемых Java-процессором, и его регистры. Кроме того, Java-процессор выполняет некоторые вспомогательные функции, например "сбора мусора", то есть освобождения неиспользуемой памяти. Байт-коды разрабатывались так, чтобы максимально сократить среднюю длину команды. Java-процессор имеет минимум регистров, стековую архитектуру и часто использует косвенную адресацию. Поэтому большинство из команд занимает всего один байт, к которому добавляется (если необходимо) номер операнда - 0, 1, 2, 3 и так далее. Кроме того, для обработки каждого типа данных Java-процессор имеет свой набор команд. В результате средняя длина Java-команды составляет всего 1,8 байта (при длине команды классических RISC-процессоров в среднем четыре байта). Кроме виртуального процессора, технология Java включает в себя (в качестве необязательного элемента) объектно-ориентированный язык программирования, построенный на основе языка C++, из которого убрали все лишнее и добавили новые механизмы для обеспечения безопасности и распределенных вычислений. Однако язык Java можно заменить любым другим достаточно совершенным языком программирования, добавив в него все необходимые элементы. Например, уже существует компилятор языка Ада, который генерирует программы в байт-кодах Java. Язык Java дает программистам возможность не просто разрабатывать новые программы, но и использовать элементы уже написанных и проверенных программ. Такой модульный принцип позволяет быстро писать новые программные продукты и эффективно модернизировать старые. Кроме того, в стандарт языка входит множество полезных библиотек, на основе которых можно строить вычислительные системы любой сложности. Причем этот стандартный набор постоянно пополняется новыми важными функциями. Еще одной особенностью Java являются аплеты. Аплет - это небольшая программка, в которой должно быть определено несколько обязательных функций. Аплет загружается по сети и может выполняться на Web-браузере, который поддерживает язык Java. Именно эта часть Java-технологии предназначена для использования во всемирной сети Internet, и поэтому защита должна распространяться как на сам аплет, так и на клиента сети, который использует этот аплет.
Как система обнаружения атак может
Карри: Это важные вопросы, которые должны тщательно рассматриваться при выборе системы обнаружения атак. Системы, основанные на профилях нападений хороши настолько, насколько хороши их базы данных сигнатур. Администратор должен иметь возможность создавать свои сигнатуры для известных атак. Реальный тест - может ли продавец не отставать от новых нападений и не только своевременно создавать новые сигнатуры, но и позволять корректировать старые, как временную меру. Механизмы распределения также важны. Когда Вы имеете дело с десятками, сотнями или тысячами модулей слежения системы обнаружения атак в одной компании, идея о ходьбе к каждому компьютеру с дискетой или CD-ROM неосуществима. Идеально, если система может быть дополнена новыми сигнатурами дистанционно. Чтобы принять меры против внесения поддельных сигнатур атак (например, как это произошло с распространением через сеть FIDO поддельных обновлений антивирусной базы для программы Dr.Web - примечание переводчика), необходимо использовать механизмы аутентификации и шифрования. Модификация сигнатур должна осуществляться без прерывания процесса обнаружения. Саттерфилд: Идеально, если система обнаружения атак модифицируется, как минимум, ежеквартально. Сигнатуры атак строятся на основе бюллетеней безопасности, появляющихся в результате создания новых приложений, несущих в себе новые уязвимости. Самая лучшая модель модификации сигнатур в системах обнаружения атак представлена в антивирусных программах. В конечном счете, заказчики должны иметь возможность регулярной загрузки новых сигнатур, чтобы гарантированно иметь самую последнюю информацию об уязвимостях. Механизм распределения сигнатур должен быть построен в первую очередь по технологии "pull", а не "push" (т.е. вы должны получать обновления у производителя по своей инициативе, а не по его - примечание переводчика). Большинство заказчиков не хочет иметь автоматически модифицируемые системы из-за сложностей в управлении и повышенного риска безопасности. Желательно, если система "предупредит", что база данных сигнатур устарела и требует модификации. Затем система соединяется через Internet с Web-сервером производителя и загружает новую версию базы данных сигнатур. Клаус: Имеется два источника получения новых сигнатур атак: компании (подобно ISS) и непосредственно пользователи. Хорошая система обнаружения атак должна не только получать регулярные обновления от экспертов компании-производителя, но и иметь механизм, позволяющий пользователям добавлять свои, специфичные сигнатуры. Поддержка системы обнаружения атак в актуальном состоянии требует постоянных усилий для проведения соответствующих исследований. Ранум: В идеале, система обнаружения атак должна модифицировать сама себя. Как минимум, система обнаружения атак требует модификации словаря атак. Новые атаки будут появляться постоянно. Это закономерно. Но кто их разрабатывает? Прямо сейчас я вижу беспокоящую меня тенденцию, согласно которой, в компаниях, которые проектируют программные средства защиты, нанимают хакеров для разработки новых атак. Это мало чем отличается от использования труда вирусописателей компаниями, разрабатывающими антивирусные программы. Уже известен случай, когда инженер одного из производителей средств обнаружения атак опубликовал в журнале Phrack исходный текст инструментария для создания атаки SYN Flood типа "отказ в обслуживании" ("denial of service"). Спустя несколько недель этот производитель объявил, что они могут обнаруживать и блокировать атаку SYN Flood. Такое неэтичное поведение выставляет всех нас в плохом свете. Спаффорд: Это зависит от используемой технологии. Если система обнаружения атак функционирует по принципу сравнения с сигнатурой, то необходимо загружать новые сигнатуры. Аналогично антивирусным сканерам. Если система обнаруживает аномальное поведение, то просто необходима периодическая подстройка. Например, система Tripwire не нуждается в модификации для получения новых атак. Необходимо только добавлять новые ресурсы, необходимые для контроля. Для систем, нуждающихся в новых профилях атак, их получение зависит от продавца или любой другой обслуживающей компании, обеспечивающей новые сигнатуры. Администратор может и сам создавать такие шаблоны, но это утомительно, требует большого количества исследований и подвержено ошибкам больше, чем в случае с профессиональными компаниями.
Как системы обнаружения атак "приноравливаются"
Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. "Системами Обнаружения Атак" ("Intrusion Detection System"), а не "Экспертами по Отражению Атак" ("Intrusion Countermeasure Expert" - ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак - для активного или пассивного обнаружения. Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда "срабатывает" соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного. Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе. Клаус: И обнаружение атак, и анализ защищенности - критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности. Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.
Как защищены Java-аплеты?
Наиболее уязвимыми с точки зрения безопасности компонентом Java-технологии являются аплеты, поскольку их может использовать любой клиент, который вовсе не обязан знать правила "техни-ки безопасности" при работе с этими небольшими программками. Именно поэтому для аплетов предусмотрены самые жесткие методы защиты. Хотя различные браузеры и программы просмотра аплетов могут по-разному защищать информацию пользователя от нападения, но в общем случае аплету должно быть запрещено следующее:
читать, изменять, уничтожать и переименовывать локальные файлы;
создавать локальные директории и читать их содержимое;
проверять существование и параметры определенного файла;
осуществлять доступ по сети к удаленному компьютеру;
получать список сетевых сеансов связи, которые устанавливает локальный компьютер с другими компьютерами;
открывать новые окна без уведомления пользователя (это необходимо для предотвращения "эмуляции" аплетом других программ);
получать сведения о пользователе или его домашней директории;
определять свои системные переменные;
запускать локальные программы;
выходить из интерпретатора Java;
загружать локальные библиотеки;
создавать потоки, которые не перечислены в ThreadGroup (класс, управляющий выполнением потоков - различных частей программы) этого аплета, и управлять ими;
получать доступ к ThreadGroup другого аплета;
определять свои объекты Class-Loader (Загрузчик Java-объектов) и SecurityManager (Диспетчер безопасности для аплетов);
переобозначать системные объекты ContentHandlerFactory, SocketImplFactory и URLStreamHandler-Factory (эти классы управляют сетевой работой Java);
получать доступ к любой упаковке, отличной от стандартных;
определять классы, которые входят в локальную упаковку.
Эти правила обеспечивают следующие компоненты Java-технологии.
Собственно виртуальный Java-процессор, который постоянно контролирует свое состояние.
Загрузчик аплетов и Java-программ, который контролирует загружаемые коды.
Диспетчер безопасности (Secu-rityManager), контролирующий и блокирующий опасные действия аплетов.
В классе SecurityManager перечислены методы, которые используются системой для контроля действий аплета в зависимости от характеристик окружающей среды. Программа, которая применяется для просмотра аплета, создает подкласс SecurityManager, который и реализует необходимую политику безопасности. Ссылка на этот SecurityManager записывается в объекте System.
Еще один механизм безопасности встроен в загрузчик аплетов и программ (ClassLoader). Браузер переопределяет этот класс и реализует свои собственные правила работы с сетевыми протоколами. Одна из основных функций загрузчика объектов - разделение пространства имен разных аплетов и операционной системы, что позволяет избежать их взаимного влияния.
Другая, не менее важная, функция загрузчика - верификация байт-кодов, т. е. проверка правильности полученного элемента Java-программы и его целостности. В процессе верификации выясняется следующее:
соответствует ли версия полученного блока версиям остальных элементов системы;
сохранен ли формат исполняемого байт-кода;
соответствует ли программа спецификации конкретного виртуального Java-процессора;
может ли возникнуть переполнение или исчерпание стека;
все ли регистры Java-процессора используются правильно;
нет ли некорректных преобразований типов.
Целями такой проверки являются выявление неправильного использования косвенной адресации, которое может привести к нарушению в работе виртуального процессора, и проверка целостности аплета. Этот механизм обеспечивает защиту и надежную работу распределенной программы, что позволяет не загружать в браузер всю Java-программу целиком, а подгружать ее небольшими блоками по мере необходимости.
Сам виртуальный Java-процессор также имеет встроенные механизмы защиты от нападения. Например, поскольку байт-коды Java интерпретируются, то можно контролировать индексы массивов, что позволяет избежать переполнение буфера - самой распространенной и опасной ошибки. Встроенные механизмы обработки исключительных ситуаций позволяют эффективно решать возникающие конфликты, а "сборщик мусора", который очищает неиспользуемую память, не дает возможности "нападающему" просмотреть "отходы", которые могут содержать полезную информацию.
Как защититься от большинства компьютерных атак
Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.
Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ.
Обнаружение вирусов и троянских коней Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.
Межсетевые экраны Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.
Вскрыватели паролей (Password Crackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли.
Шифрование Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).
Сканеры уязвимых мест Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры.
Грамотное конфигурирование компьютеров в отношении безопасности Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены.
Боевые диалеры(war dialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры.
Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениями и
Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности. Имеется
Средства выявления топологии сети и сканеры портов Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них.
Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть от Интернет, и что делать в случае компрометации важного сервера. предоставляет общие консультации в рамках США. отвечает за консультирование гражданских государственных учреждений в США.
Политики безопасностиСистема сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров.
Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Атаки этого типа могут быть очень серьезными, особенно если атакующий настолько умен, что организовал продолжительную атаку, у которой не выявить источник. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им. Мы рекомендуем проводить этот вид анализа на уязвимость только опытным системным администраторам или специальным консультантам.
Как защититься?
Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором. Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.):
Как идентифицировать подозрительные действия и куда сообщать о них?
Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации.
Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?
Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности). Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации. Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.
Какая платформа наилучшим образом подходит для FireWall-1?
Это достаточно часто задаваемый вопрос, но на него, к сожалению, нельзя однозначно ответить. При выборе платформы необходимо учитывать множество факторов, как-то специфические сетевые конфигурации, размеры защищаемой сети, требуемая производительность и реальные знания персонала организации.
Check Point Software Technologies считает, что все точки доступа к сети должны быть защищены в соответствии с требованиями используемой платформы и решаемых задач. Но использование для этих целей специально спроектированных аппаратно - программных комплексов во многих случаях не оправдано. Поэтому Check Point FireWall-1 поддерживает различные платформы и операционные системы, включая NT и UNIX, маршрутизаторы, коммутаторы и другие сетевые устройства. Важно, что все эти устройства используют одно и то же программное обеспечение и могут управляться с использованием общего графического интерфейса пользователя из административного центра. Основным параметром при выборе платформы может стать количество сетевых интерфейсов, поддерживаемых ей. Например, платформы только с двумя сетевыми интерфейсами не могут поддерживать демилитаризованную зону сети, поэтому такие платформы категорически не рекомендуется использовать из соображений безопасности.
Какие бесплатные системы обнаружения атак доступны?
Наиболее полный список систем обнаружения атак можно получить по адресу: . 4.1.1 Network Flight Recorder (NFR) Анализатор пакетов под UNIX, основанный на libcap/tcpdump. Насколько я знаю, NFR поставляется с небольшим число сигнатур атак, но так как исходный текст NFR доступен, то многие специалисты сами пишут фильтры для нее. (Однако не многие специалисты имеют необходимый опыт и время для такой работы - примечание переводчика). Общее описание можно найти по адресу . 4.1.2 Bro
Система обнаружения атак Vern Paxson's Bro. Также основана на libcap. Я не слышал о фактах применения этой системы. Более подробную информацию можно получить в: . 4.1.3. AAFID
Идея распределенного агента для обнаружения атак, предложенная COAST. Я не знаю, сколько в этой идее вымысла, а сколько реальности. 4.1.4. Shadow
Я думаю, что это проект используемый в Вооруженных силах США для обнаружения атак. Имеется интересный документ () в котором описаны случаи распределенных в пространстве атак, обнаруженных этой системой. 4.1.5. Argus
Это не система обнаружения атак. Однако, она контролирует сетевые пакеты и события в журналах регистрации. Вы можете затем обрабатывать эти данные для обнаружения атак. См. для большей информации или 4.1.n Другие
Nnstat
Какие другие кроме NIDS существуют контрмеры?
Межсетевые экраны
Многие люди думают о межсетевых экранах, как о первой и единственной линии обороны. Это означает, что если злоумышленники смогут обойти ее (что просто реализуется , тем более что атак совершается сотрудниками компании), то они будут неконтролируемыми внутри корпоративной сети. Лучшим подходом было бы думать, что МСЭ - это последняя линия обороны. Вы в первую очередь должны правильно конфигурировать свои компьютеры и использовать обнаружение атак. И только потом устанавливать межсетевой экран. Помните, что практически любой современный маршрутизатор обладает функциями межсетевого экрана. Аутентификация
Вы должны использовать системы анализа защищенности, которые автоматизируют поиск учетных записей без паролей. Вы должны использовать пароли не менее чем из 7 символов (включая цифры, пунктуацию и символы в верхнем и нижнем регистрах), используя для их проверки специальные программы встроенные в операционные системы или дополняющие их (PASSFILT.DLL для Windows NT и Crack для Unix - примечание переводчика). Вы также можете использовать системы Single-Sign On или интегрировать системы типа RADIUS/TACACS в Unix или Windows NT, а также использовать встроенные возможности (например, Kerberos в Windows 2000). Эти системы аутентификации помогут устранить опасность использования паролей, передаваемых "открытым текстом" по протоколам Telnet, FTP, IMAP, POP и т.д. VPN (Virtual Private Networks) VPN создает защищенное соединение через Internet. Сейчас это используют многие технологии. Например, протокол PPTP создает зашифрованное соединение по PPP над TCP (некорректный пример, особенно после нахождения "дыры" в реализации PPTP в Windows - примечание переводчика). Новая версия IPsec дополняет традиционный IP новыми механизмами защиты. Шифрование
Шифрование становится все более популярным. Вы можете шифровать электронную почту, шифровать файлы или шифровать всю файловую систему (последний вариант является наилучшим). (Другие методы
Существуют и другие методы, дополняющие применение систем обнаружения атак. Например, системы разграничения доступа к ресурсам компьютера, системы анализа защищенности - примечание переводчика).
Какие есть другие ресурсы по защите информации?
5.2.1 Purdue's COAST -архив
Если вы хотите найти сервер в Internet с самым большим количеством информации по защите, обратитесь по адресу: 5.2.2 SANS-Институт
Я думаю, что это самое лучшее место для обучения по вопросам защиты информации для людей, которые сами не являются хакерами. Их аудитория -профессионалы в области информационных технологий, которым необходимо защищать свои сети. Для большей информации смотрите: 5.2.3 L0pht Heavy Industries
Есть некоторые хакеры с достаточно хорошими инструментами и полезными системами уведомления (тревоги), нацеленными на Windows. Для большей информации смотрите: 5.2.4 Технические контрмеры против атак
Мне нравится этот сервер; он сдержит массу хорошо организованной информации по атакам. Для большей информации смотрите: 5.2.5 Список рассылки по системам обнаружения атак
Пошлите строку subscribe ids в теле сообщения электронной почты по адресу:
Какие есть ограничения у систем обнаружения атак?
Рассмотрим следующие ограничения: Подмена адреса/посредничество: Одна из целей обнаружения атак заключается в том, чтобы указать пальцем на того, кто вас атакует. Это может оказаться трудным по целому ряду причин. В случае 'smurf'-атаки, например, вы получаете тысячи ответов на запрос, который вы никогда не посылали. NIDS как раз и обнаруживает эти ответы, но не может обнаружить того, кто послал поддельный пакет. При предсказании номера ТСР-последовательности (TCP Sequence Number Prediction) поддельные IP-адреса используются так, чтобы NIDS не могла точно определить откуда действует хакер. В конце концов, большинство хакеров будут 'хвастаться' своими атаками через FTP или Web- procy-сервера, или организовывать свои атаки с других серверов, которые они уже взломали. Таким образом, найти того, кто атакует ваш сервер будет очень трудно, не поможет и конфигурирование фильтров IP-адресов в вашем МСЭ. Ограничения по ресурсам: NIDS страдает от того факта, что она требует немалые ресурсы для удержания хакеров. Большинство NIDS разбирает TCP-потоки, но немногие из них разбирают пакеты (из-за требуемых ресурсов центрального процессора и оперативной памяти). Нарушители, которые фрагментируют свои пакеты, часто могут остаться необнаруженными. Аналогично, хакеры могут потратить месяцы, медленно зондируя сеть. Опять же, NIDS не имеют достаточно ресурсов для того, хранить журналы регистрации очень долго для того, чтобы сравнивать прошедшие события с событиями, которые имеют место в настоящий момент во время атаки. В конце концов, несмотря на то, что устройства, работающие в режиме "прослушивания" (promiscuous) трафика могут поддерживать T-1-соединения с сетью Интернет, им требуется гораздо больше времени в случае 100 Мбит/сек или гигабитных скоростей на главной магистрали.
Какие инструменты используют хакеры для проникновения в мои системы?
Какие коммерческие системы обнаружения атак являются доступными?
Имеется таблица, собранная из различных источников.
Название Производитель Протокол Интерфейс Сервисы Web-сервер Тип обнаружения атак ОС Реагирование Примечание
RealSecure
Internet Security Systems, Inc.
TCP/IP
Ethernet, Fast Ethernet, FDDI, Token Ring
SMB, NFS, DNS, HTTP, FTP, Telnet, SNMP, SMTP, RPC
На уровне сети На уровне хоста
Windows NT, Unix
E-mail, консоль, пейджер, телефон, SNMP, реконфигурация МСЭ и маршрутизаторов, блокировка учетных записей, завершение соединения
Первая система, которая получила распространение в России
OmniGuard Intruder Alert
Axent Technologies
Не применимо
Не применимо
Журналы регистрации, события от маршрутизаторов Cisco, su, события от МСЭ
На уровне хоста
Windows NT, Unix, Netware
Пейджер, e-mail
NetRanger
Cisco Systems
TCP/IP
Ethernet, Fast Ethernet, FDDI, Token Ring
SMB, NFS, DNS, HTTP, FTP, Telnet, SNMP, SMTP, RPC
На уровне сети
Solaris
Пейджер, e-mail, консоль
Система была разработана компанией WheelGroup, которую приобрела корпорация Cisco.
Kane Security Monitor
Security Dynamics
Не применимо
Не применимо
Журналы регистрации, БД NT SAM, реестр NT
На уровне хоста
Windows NT, Netware
Пейджер, консоль, звуковой сигнал, e-mail
Система была разработана компанией Intrusion Detection, которую приобрела корпорация Security Dynamics
Network Flight Recorder
NFR
TCP/IP
Ethernet, Fast Ethernet, FDDI
DNS, HTTP, FTP, Telnet, SMTP, RSH
На уровне сети
Unix
Пейджер, факс, консоль, e-mail
4.2.1 CyberCop компании Network Associates
Я вижу, что многие люди неправильно информированы относительно CyberCop. Первоначально CyberCop был создан в компании Network General (разработчиками программы Sniffer) на основе технологии обнаружения атак, лицензированной у компании WheelGroup. CyberCop использовал Web/Java интерфейс. Network Associates купила Network General (точнее McAfee Associates и Network General объединились - примечание переводчика), а Cisco купила компанию WheekGroup. По неизвестной причине Cisco отказалась возобновлять лицензионное соглашение (потому что компания Cisco выпускает конкурирующую систему обнаружения атак NetRanger - примечание переводчика) и насколько мне известно Network Associates больше не предлагает CyberCop. Однако NAI любит название CyberCop и использует его для новых продуктов. У компании Secure Networks она приобрела систему анализа защищенности Ballista и назвала ее CyberCop Scanner. Также NAI предлагает систему, называемую CyberCop Server, которая относится к классу систем обнаружения атак на уровне хоста и функционирует под управлением Sun и Windows NT. Я думаю, что этот продукт основан на системе Stalker, разработанной компанией Haystack и приобретенной компанией NAI. Для большей информации смотрите: . 4.2.2 RealSecure компании Internet Security Systems, Inc. (ISS) Это единственное ПО, работающее на большом количестве Windows и UNIX-платформ. Для большей информации смотрите: . Система создана в 1996 году. (Обнаруживает атаки, как на уровне сети, так и на уровне операционной системы - примечание переводчика). 4.2.3 NetRanger компании WheelGroup/Cisco
В отличие от Cybercop и RealSecure, которые контролируют трафик в режиме прослушивания трафика (promiscuous), NetRanger - это маршрутизатор, который просматривает трафик, проходящий через него. Компания WheelGroup в 1998 была куплена Cisco, поэтому можно предположить, что вы увидите это ПО, представленное во всех других маршрутизаторах последней (или в межсетевом экране Pix - примечание переводчика). Для большей информации смотрите: .
4.2.4 Netective компании Netect
Для большей информации смотрите: .
4.2.4 SessionWall-3 компании AbirNet/Memco
Для большей информации смотрите: .
4.2.5 ID-Trak компании Internet Tools
Для большей информации смотрите: .
4.2.6 SecureNet Pro компании MimeStart
Для большей информации смотрите: .
4.2.8 Kane Security Monitor (KSM) компании Security Dynamics
Система создана в 1996.
4.2.7 Network Flight Recorder
Более конфигурируемый набор инструментов, чем plug-and-play система обнаружения атак. Система создана в 1998 году.
Какие места являются интересными?
Вот несколько мест, которые собирают информацию с других серверов. Наверное стоит взглянуть. 5.3.1 NIH security site
Для большей информации смотрите: 5.3.2 NTSecurity.net
Для большей информации смотрите: .
Какие наиболее распространенные процессы сканирования с целью разведки?
1.9.1 Ping sweeps
В течение этого простого процесса сканирования диапазон IP-адресов анализируется утилитой ping с целью определения активных компьютеров. Заметим, что большинство более сложных сканеров будет использовать другие протоколы (такие как SNMP sweep), чтобы делать ту же самую вещь. 1.9.2 TCP-сканирование
Зондирования открытых TCP-портов в поисках сервисов, которые может использовать нарушитель. Сеансы сканирования могут использовать обычные TCP-соединения или скрытые (stealth) сеансы сканирования, которые используют наполовину открытые соединения (с тем, чтобы защитить их от регистрации в журналах) или FIN-сеансы сканирования (никогда не открывают порт, но тестируют, если что-то прослушивается). Сеансы сканирования могут быть либо последовательными, либо случайными, либо сконфигурированы по перечню портов. 1.9.3 UDP-сканирования
Эти сеансы сканирования являются несколько более трудными, потому что UDP - протокол без установления виртуального соединения. Метод заключается в том, чтобы послать "мусорный" UDP-пакет к намеченному порту. Большинство машин будут реагировать с помощью ICMP-сообщения "destination port unreachable", указывающего, что на данном порту нет прослушиваемого сервиса. Однако, многие компьютеры "душат" ICMP-сообщения, поэтому вы не сможете осуществлять очень быстрое UDP-сканирование. 1.9.4 Идентификация ОС
Путем посылки недопустимых (или странных) ICMP или TCP-пакетов нарушитель может идентифицировать ОС. Стандарты обычно устанавливают, каким образом компьютеры должны реагировать на легальные пакеты, поэтому машины имеют тенденцию быть единообразными в своей реакции на допустимые входные данные. Однако стандарты упускают (обычно намеренно) реакцию на недопустимые входные данные. Таким образом, уникальные реакции каждой ОС на недопустимые входные данные формируют сигнатуру, которую хакеры могут использовать для того, чтобы понять под чьим управлением функционирует выбранный компьютер. Этот тип деятельности имеет место на нижнем уровне (вроде скрытых сеансов TCP-сканирования), на котором анализируемые системы не регистрируют события.
Какие наиболее серьезные слабости в существующих коммерчески распространяемых системах?
Саттерфилд: Многие продукты управляются локально. Локальное управление системами обнаружения атак, аналогично управлению другими средствами защиты, имеет значительные недостатки, которые, зачастую, проявляются только через некоторое время после развертывания системы. Масштабируемость жизненно важна для эффективного применения системы, особенно в крупных сетях. Вторая проблема - производительность. Большинство коммерческих систем обнаружения атак не может эффективно функционировать даже в сетях Ethernet (10 Мбит/с), не говоря уже о сетях ATM и других более скоростных магистралях. Клаус: Мы столкнулись с двумя основными проблемами. Во-первых, вы должны быть уверены, что ваша система обнаружения атак соответствует вашей сети. А, во-вторых, вы должны ответить на вопрос: "Что делать потом?". Необходимо настроить приобретенную систему таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики вашей сетевой инфраструктуры. Вы не имеете старых версий операционной системы SunOS? Следовательно, вы неуязвимы к атакам типа "UDP Bomb". Это знание уменьшает вероятность ложных обнаружений. Однако для такой настройки требуется знание топологии сети и сведений об используемом программном и аппаратном обеспечении. Ни одна из современных систем обнаружения атак не проводит такого рода предварительной настройки. Ответ на вопрос "Что делать потом?" также немаловажен. Предположим, что система обнаружения атак сообщает о событии DNS Hostname Overflow. Что это означает? Почему это плохо? Как я должен реагировать в ближайшей и далекой перспективе? Многие современные системы не обеспечивает такой уровень подробности. Кроме этого иногда очень трудно отделить важную информацию от второстепенной. Необходимо иметь немалый опыт в области обнаружения атак, чтобы формализовать его и заложить в систему. Ранум: Самая большая слабость - наличие огромного числа приложений, которые имеют неизвестные уязвимости. Для типичной системы обнаружения атак основной способ определения нападения - проверка на соответствие сигнатуре. Однако, это ограниченное с технической точки зрения решение. Карри: Обнаружение атак в коммерческих системах - все еще новая, неисследованная область. Производители разрабатывают системы в очень быстром темпе. Хотя существуют некоторые очевидные слабости масштабируемости, удаленной модификации и т.п., большинство производителей уже решило эти проблемы в альфа-версиях или в версиях, находящихся в процессе опытной эксплуатации. Имеется только одна, действительно серьезная, на данный момент нерешенная, проблема - база данных сигнатур. Написание модуля слежения для системы обнаружения атак - достаточно простая задача. Для этого необходим хороший алгоритм сопоставления с образцом, организация буферизации данных и эффективные алгоритмы кодирования. Но самый лучший в мире модуль слежения бесполезен без полной, всесторонней базы данных сигнатур атак, которая должна быть очень быстро обновляемой, так как новые атаки и уязвимости обнаруживаются постоянно. Создание такой базы данных требует наличия хорошо осведомленных экспертов, имеющих доступ к большому числу источников информации об атаках. Способность создания и обновления такой базы данных будет главным параметром, по которому будут оцениваться производители систем обнаружения атак в следующие 12-24 месяцев. Спаффорд: Современные производители сосредотачивают свое внимание на обнаружении внешних атак, а не на выработке обобщенного подхода к обнаружению нарушений стратегии защиты. Выработка этого подхода - это область активных исследований в ближайшее время.
Какие проблемы создают объемы
Клаус: Переполнение данных - одна из главных проблем с системами обнаружения атак. Имеется два основных пути - управление отчетами программы и наличие "здравых" средств управления данными. Хорошая система обнаружения атак должна иметь возможность точной настройки - некоторые атаки могут обнаруживаться, а могут и нет; определенные атаки могут изменять некоторые свои параметры (например, число портов, открытых в определенный промежуток времени, - примечание переводчика), варианты реагирования также могут быть настроены. Эта настройка позволяет вам управлять тем, что и как сообщает вам система обнаружения атак. Хорошая идея - интегрировать средство обнаружения атак с системой анализа защищенности. Это позволит вам сконцентрироваться на самых важных данных, сохранив менее критичные данные для последующего анализа. Хорошая система обнаружения атак способна генерировать сообщения об атаке, выдавать их на экран, и иметь контекстно-зависимую справочную систему. Она также должна иметь эффективные механизмы управления данными, чтобы персонал мог анализировать собранные данные удобным для себя образом. Персонал, работающий с системой обнаружения атак, должен не только быть обучен правилам работы с ней, но и знать, как интегрировать ее в инфраструктуру своей организации. Что касается аутсорсинга, то компании могут иметь разные точки зрения на него. Некоторые не используют аутсорсинг, так как созданных системой обнаружения атак данных достаточно для принятия соответствующих решений. Другие, напротив, желают воспользоваться аутсорсингом, поскольку они не так хорошо разбираются в защитных механизмах и технологиях и им необходима сторонняя помощь. Все это зависит от критичности данных и здравого смысла конечного пользователя системы обнаружения атак. Ранум: Если вы записываете весь трафик на загруженной сети, то недорогой жесткий диск будет делать это медленнее, чем система обнаружения атак "пишет" на него (например, в сетях Fast Ethernet пропускная способность равна 100 Мбит/сек, а скорость доступа к современным "стандартным" жестким дискам равна 24-80 Мбит/сек - примечание переводчика). Вы должны знать, что сохранять, а что нет. Например, если вы контролируете доступ к Web-серверу, то, вероятно, нет необходимости сохранять все графические GIF-файлы. Полезнее хранить URL к ним. Если вы - секретная спецслужба, ищущая секретные данные в изображениях (стеганография - наука о методах скрытия самого факта передачи сообщения, в т.ч. и скрытие данных в графическом изображении - примечание переводчика), то вы предъявляете совершенно другие требования. Приспосабливаемость к различным требованиям по управлению данными является большой проблемой современных систем обнаружения атак, - сколько данных записывать; как долго их хранить; как представить их конечному пользователю? Я чувствую, что большинство пользователей не захочет иметь дела с этими проблемами. Им проще будет приобрести систему обнаружения атак, как часть комплексного решения по обеспечению информационной безопасности сети, предлагаемого внешней организацией и поддерживаемого 24 часа в сутки, 7 дней в неделю (аналогичные услуги в последнее время получили широкое распространение за рубежом - примечание переводчика). Карри: Проблема не в количестве данных. Это всего лишь побочный эффект. Реальная проблема в том, что вы будете делать, когда система обнаружения атак уведомит вас о нападении? Когда вы получаете такое уведомление, вы должны реагировать быстро и правильно - любая ошибка может стоить вам дорого. Кроме того, вы не можете уменьшить число ложных срабатываний без риска пропустить реальную атаку. Таким образом, вы должны уметь отделять зерна от плевел. Как только вы решили, что тревога реальна, что это значит? Как вы реагируете? Автоматический ответ хорош, но это последнее, что вы должны предлагать своим заказчикам. То есть вы нуждаетесь в постоянном человеческом присутствии и возможности обработки оператором почти всех тревог. Это требует выделенного, опытного персонала, который постоянно контролирует эти атаки, знает, как они реализуются и, что более важно, знает, что с ними делать. Обучение и укомплектование персонала для решения этой задачи сложно - большинство компаний не имеет такой возможности, не может себе позволить создавать такие подразделения, не имеет на это времени и, даже если они смогли бы сформировать их, то у них нет на это соответствующих материальных ресурсов. Саттерфилд: Действительно, управление данными - самая большая проблема перед всем семейством средств защиты информации. Это особенно важно для технологии обнаружения атак. На скоростях 100 Мбит/сек и выше система обнаружения атак должна собирать и анализировать большое количество данных. Ранние прототипы систем обнаружения атак фиксировали нажатия клавиш, которые сохранялись на локальном жестком диске и затем, ночью, передавались на центральную консоль для обработки на следующий день. Это работало, но было не оперативно и не соответствовало требованиям работы в реальном режиме времени. Современные технологии оперируют интеллектуальными датчиками, которые собирают только те пакеты, которые могут содержать возможные нарушения защиты. Пакеты анализируются датчиком, а затем, в виде кодированного сигнала передаются дальше. Фактические данные, вызвавшие тревогу, доступны, но уже не имеют большого значения. Дело в том, что датчик должен быть интеллектуальным и должен уметь выбирать только важную информацию. Остальное игнорируется. Это единственный способ создать крупномасштабную систему обнаружения атак, функционирующую в реальном режиме времени с заданной эффективностью. Эта технология очень мощная. Она обеспечивает сбор и отображение заинтересованным лицам всей информации об уровне защищенности организации. Хорошая система обнаружения атак будет разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако, пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования. "Пробел в умении защищать" не дает многим организациям понять, как себя защищать на достаточно серьезном техническом уровне. Следовательно, я думаю, что большое количество организаций обратится к аутсорсингу в области сетевой безопасности. Мы часто слышим от клиентов, что их компании "не нуждаются в аутсорсинге". Однако, после того, как мы им демонстрируем требования к обучению и затраты на 24-часовое поддержание соответствующего уровня безопасности они пересматривают свои позиции. Часто задается один вопрос. Кому вы скорее доверите свою защиту? Служащим, которые могут на следующей неделе работать на ваших конкурентов, или поставщику услуг, связанному контрактом? Этот вопрос обычно ведет к очень интересному обсуждению. Сотрудники службы аутсорсинга - это текущий контроль местных тревог. Фактически, потребители поняли, что системы оповещения, расположенные на предприятии, имеют мало значения, если они не имеют удаленного контроля. Сколько раз вы останавливались на улице, чтобы узнать, почему раздается сигнал тревоги из дома соседа? Ответ - вы обычно ждете шестичасовых новостей, чтобы узнать об этом. Спаффорд: Системы обнаружения не должны генерировать много данных. Что касается заданных вопросов, то позвольте мне обратить ваше внимание, что мы проводим исследования в этих областях (за исключением обучения и укомплектования персоналом) и пока не нашли лучшего решения.
Какие проблемы встречаются у IDS?
См. документ по адресу для знакомства с этими проблемами. 6.1.1 Распределенное по времени сканирование
Из-за большого объема сетевого трафика NIDS с трудом поддерживают регистрацию продолжительного трафика. Таким образом, трудно обнаруживать "распределенное по времени сканирование" (ping sweeps или port scans), при котором нарушители сканируют один порт/адрес каждый час. 6.1.2 Загруженные сегменты
В настоящее время NIDS не могут поддерживать сильно загруженные сегменты, например, 100-Мбит/сек. Таким образом, в то время как они являются подходящими для незначительно загруженных сетей или WAN-связей, они имеют проблемы с сильно загруженными сегментами. 6.1.3 Коммутируемые сети
Коммутируемые сети ставят множество проблем перед NIDS, а также перед сетевым анализом вообще. Есть много решений этой проблемы, но они не всегда являются удовлетворительными. Некоторые решения: embed Некоторые продукты внедрены непосредственно в сам коммутатор. Однако это просто усугубляет проблему, указанную выше, в случае сильно загруженных сегментов. Объединительные платы на задней панели коммутатора работают на скоростях несколько Гбит/сек. monitor port Многие коммутаторы имеют "monitor port" (span port, mirror port, managed port - примечание переводчика) для установки сетевых анализаторов. NIDS также может быть легко присоединена к этому порту. Очевидная проблема заключается в том, что порт запускается на гораздо более низкой скорости, чем объединительная плата на коммутаторе, поэтому NIDS не сможет увидеть весь трафик на сильно загруженном сегменте. inter-switch соединение
Поскольку многие коммутаторы конфигурируются иерархическим образом, качественное обнаружение может быть обеспечения путем установки NIDS на соединения между коммутаторами. Однако большинство NIDS могут только обрабатывать ограниченный объем полосы пропускания, и вероятно насыщаются в таких случаях. 6.1.4 Скоординированные атаки с невысокой пропускной способностью
Иногда хакеры собираются вместе и запускают медленное сканирование с многочисленных IP-адресов. Это затрудняет диагностику атаки системой обнаружения атак.
Какие существуют свободно распространяемые системы обнаружения атак?
4.4.1. TCP Wrappers
TCP Wrappers - модуль для Unix, который функционирует между inetd и сетевыми сервисами (типа ftp, telnet и т.д.). Inetd передает информацию TCP Wrappers, который осуществляет аутентификацию по IP-адресу и регистрирует все соединения. Затем, если необходимо, TCP Wrappers вызывает соответствующий сервис.
Каким является типичный сценарий атаки?
Стадия 1: внешняя разведка. Нарушители собирают как можно больше информации об атакуемой системе, ничем себя не выдавая. Они могут делать это, собирая доступную информацию, или маскируясь под обычного пользователя. На этой стадии вы действительно не сможете обнаружить их. Нарушитель будет высматривать "кто есть кто", чтобы собрать как можно больше информации о вашей сети, которая зарегистрирована вместе с вашим доменным именем (таким как, например, microsoft.com). Нарушитель, возможно, пройдется по вашим DNS-таблицам (используя 'nslookup', 'dig' или другие утилиты, используемые для работы с DNS), чтобы найти имена ваших машин. Нарушитель будет разыскивать другую информацию для открытого использования, такую как ваши публичные Web- и FTP- сервера с анонимным входом. Нарушитель может просматривать новые статьи или пресс-релизы о вашей компании и т.д. Стадия 2: внутренняя разведка. Нарушитель использует более сильные методы для получения информации, но по-прежнему не делает ничего вредного. Он может пройти через все ваши Web-страницы и посмотреть CGI-скрипты, которые очень часто подвергаются хакерским атакам. Он может запустить утилиту 'ping' для того, чтобы посмотреть какие компьютеры активны в сети. Он может провести сканирование UDP/TCP-портов на намеченных для атаки компьютерах для того, чтобы определить доступные сервисы. Он может запустить утилиты типа 'rpcinfo', 'showmount', 'snmpwalk' и т.д. для того, чтобы определить, какие службы являются доступным. В данный момент нарушитель ведет "нормальную" деятельность в сети и нет ничего, что могло быть классифицировано как нарушение. В этот момент NIDS могут сказать вам, что "кто-то дергает за ручки дверей", но пока еще никто не ломится в закрытую дверь. Стадия 3: exploit. Нарушитель пересекает границу и начинает использовать возможные уязвимости на выделенных компьютерах. Нарушитель может попытаться скомпрометировать CGI скрипт, посылая команды shell в полях входных данных. Нарушитель может попытаться использовать хорошо известные уязвимости "переполнения буфера", посылая большое количество данных. Нарушитель может начать проверку учетных записей с легко подбираемыми (или пустыми) паролями. Хакер может пройти через несколько стадий атаки. Например, если хакер смог получить доступ к учетной записи обычного пользователя, то затем он будет пытаться совершать дальнейшие подвиги для того, чтобы получить доступ к учетной записи супервизора root/admin. Стадия 4: скрытие следов. На этой стадии хакер успешно проник в вашу сеть. Теперь цель хакера заключается в том, чтобы скрыть свидетельства атак путем исправления журналов регистрации. Они могут инсталлировать специальные утилиты, дающие им удаленный доступ, возможность замены существующих сервисов своими собственными "троянскими конями", или возможность создавать свои собственные учетные записи и т.д. Системы контроля целостности (SIV) могут часто обнаруживать нарушителя именно на этом этапе, отслеживая измененные системные файлы. Далее хакер будет использовать систему в качестве опорной площадки для проникновения в другие системы или компьютеры, поскольку большинство сетей имеет незначительное число средств для защиты от внутренних атак. Стадия 5: прибыль. Нарушитель использует преимущества своего статуса для кражи конфиденциальных данных, злоупотребления с системными ресурсами (т.е. организует атаки в другие сайты с вашего сервера) или стирает Web-страницы. Другой сценарий начинается по-другому. Скорее это атака на конкретный сервер, и нарушитель может просто просканировать случайный адрес в сети Internet, пытаясь найти конкретную дыру. Например, нарушитель может попытаться просканировать всю сеть Интернет в поисках машин, которые имеют дыру SendMail DEBUG. Они просто атакуют те компьютеры, которые находят. Они не нацеливаются непосредственно на Вас, и они в действительности просто даже не хотят знать, кем вы являетесь. (При заданном перечне хорошо известных уязвимостей и перечне IP-адресов, есть хороший шанс, что есть несколько машин, которые имеют хотя бы одну из этих уязвимостей).
Каким образом я могу реализовать систему обнаружения атак на своем предприятии?
Подумайте о том, каким образом вы можете сконфигурировать следующие системы для того, чтобы обнаруживать нарушителей: Операционные системы, такие как Windows NT и UNIX, поступают с встроенными функциями аудита/создания регистрационных записей, которые могут быть использованы для мониторинга наиболее важных ресурсов с точки зрения защиты. В разделе ниже обсуждается вопрос, каким образом сконфигурировать Windows и UNIX для того, чтобы сделать возможным обнаружение атак. Сервисы, такие как Web-сервера, SMTP-сервера и базы данных, также включают функции регистрации и аудита. Более того, есть много инструментов, которые могут быть использованы для анализа этих файлов с целью обнаружения сигнатур атак. Системы обнаружения атак на уровне сети, которые просматривают сетевой трафик, пытаясь обнаружить атаки. В следующем разделе перечисляется большое количество таких продуктов. Системы обнаружения атак на уровне ОС и приложений, которые анализируют действия пользователей системы, пытаясь обнаружить атаки. Межсетевые экраны обычно имеют некоторые возможности по обнаружению сетевых атак. Кроме того, блокирование атак - это их главная цель, которую было бы глупо не использовать. Платформы управления сетью (такие как, например, OpenView) имеют механизмы для того, чтобы помочь сетевым менеджерам установить варианты реагирования о подозрительной деятельности. Как минимум, все SNMP-устройства должны посылать "Authentication Failure" traps на консоль управления и должны извещать администраторов, когда это происходит.
Каким образом я могу улучшить обнаружение атак/защиту под ОС Windows NT?
Выполнение пунктов следующего перечня сделает вашу ОС WinNT более защищенной, включая как улучшение функций обнаружения, так и функции защиты. Они перечисляются в порядке своей важности.
Инсталлируйте самую последнюю версию service packs и "hot fixes". Они перечислены по адресу http://www.microsoft.com/security/. Если вы используете WinNT 4.0 и у вас нет инсталлированного Service Pack #3 (SP3), нарушитель может проникнуть внутрь вашей системы.
ИНСТАЛЛЯЦИЯ: Используйте файловую систему NTFS вместо FAT. NTFS допускает, чтобы права доступа устанавливались на каждый файл/директорию. NTFS также позволяет проводить аудит для каждого файла/директории. Заметим, что много людей рекомендуют использовать FAT в качестве загрузочного дисковода и NTFS для всех остальных дисководов (вследствие простоты использования DOS для устранения проблем на FAT-дисководе). Однако использование NTFS для всех драйверов определенно является более безопасным.
USRMGR: Переименуйте учетную запись "administrator". Наиболее распространенная атака заключается в использовании атаки по словарю или "подбор пароля" на учетную запись "administrator". Обычные учетные записи могут быть сконфигурированы на автоматическую (и временную) "блокировку" после нескольких неудачных попыток подбора пароля. Однако, эта возможность не применима для учетной записи administrator, потому что это делает возможными атаки типа "отказ в обслуживании" (т.е. помешать администрированию компьютера путем блокировки учетной записи administrator).
USRMGR: Создать новую учетную запись с именем "administrator" для фиксации попыток вторжения.
USRMGR: Сделайте недоступным учетную запись "guest". Вы, возможно, также захотите переименовать эту учетную запись. Как только вы переименовали учетную запись с именем "guest", вы можете захотеть создать новую учетную запись, названную "guest" для фиксации хакерских атак.
NTFS: Сделайте недоступным доступ на запись для группы "Everyone" в директорию %systemroot%/system32.
REGEDT32: Включите аудит для контроля доступа к ключу "HKEY_LOCAL_MACHINE\Security" для того, чтобы обнаруживать удаленный доступ к системному реестру.
ИНСТАЛЛЯЦИЯ: Не инсталлируйте все программные продукты в директорию "C:\WINNT". Иногда нарушители могут получить доступ к файлам, если они знают название файла. Еще лучше, инсталлируйте все в C:\WINNT, затем переинсталлируйте всю в какую-нибудь другую директорию, затем запустите аудит внутри директории C:\WINNT, чтобы он предупредил вас, когда люди будут получать доступ к инсталлированным файлам.
ИНСТАЛЛЯЦИЯ: Используйте загрузочный раздел (boot partition) только для загрузочных и системных файлов. Разместите данные и приложения на отдельном логическом диске. Также неплохая идея - отделить приложения от данных.
ПАНЕЛЬ УПРАВЛЕНИЯ: Сделайте доступным функцию "Password Protected" в хранителе экрана. Самый лучший хранитель экрана - это "Blank Screen". Вы, возможно, думаете, что хранители экранов запускаются в процессе ожидания, но это не всегда так, поэтому вы можете улучшить характеристику вашего сервера, используя "Blank Screen". Это также снизит потребление мощности у монитора, особенно в тех, которые могут обнаруживать blank screen и самостоятельно отключаться. И, наконец, некоторые хранители экрана (например, PointCast) являются уязвимыми для атак.
REGEDT32: Отключите автоматическое включаемое совместное использование ADMIN$, C$, D$, и т.д. через параметр "AutoShare" в реестре. Этот параметр находится в ключе "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters", и представляет "AutoShareServer" для Windows NT Server или "AutoShareWks" для Windows NT Workstation. Он имеет тип DWORD со значением '1' - доступно (default), или значением '0' - недоступно. Вам придется добавить значение самостоятельно, потому что его нет в реестре.
REGEDT32: Отключите информацию об учетных записях и разделяемых ресурсах через анонимный доступ. Добавьте "RestrictAnonymous" типа DWORD со значением "1" к ключу "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA". Заметим, что если вы видите ошибку "Could not find domain controller for this domain." в момент установки доверенных связей с доменом, вам придется изменить их обратно.
USRMGR: Если вы используете домен (а не рабочую группу), измените права пользователя "Access this computer from the network" на "Authenticated Users", а не на "Everyone". Это сделает невозможным удаленный доступ через локальные учетные записи на вашем компьютере, и позволит осуществлять доступ только через учетные записи домена.
PASSPROP: Позволяет блокировать учетную запись "administrator" для удаленного доступа. Это делает возможной ситуацию, когда удаленный нарушитель отключается после трех раз ввода неправильного пароля. После блокировки администратор может войти только локально на консоль системы. Также вы можете сделать полностью недоступным удаленный доступ администратора в USRMGR, удалив право "Access this computer from the network" из "Administrators", но это сделает невозможным все удаленное администрирование, что довольно сильно затруднит администрирование в крупном межсетевом окружении под управлением Windows NT.
Также можно рассмотреть такой вариант предотвращения несанкционированного использования компьютера. Джон Козубик предлагает использовать такой сценарий входа в систему, чтобы осуществить принудительную загрузку хранителя экрана, защищенный паролем. В сценарий входа в систему включите строку подобную этой: regedit /s \\MY_PDC\netlogon\scrn.reg В файл "scrn.reg" поместите текст:
REGEDIT4 [HKEY_CURRENT_USER\Control Panel\Desktop] "ScreenSaveTimeOut"="1800" "ScreenSaveActive"="1" "SCRNSAVE.EXE"="c:\winnt\system32\logon.scr" "ScreenSaverIsSecure"="1"
Это приводит к приглашению ввести пароль после 30 минут неактивности рабочей станции (эта возможность не заставляет пользователя перерегистрироваться на компьютере; только вынуждает их повторно ввести пароль, прежде чем они снова получат доступ к компьютеру).
Каким образом нарушители получают пароли?
Нарушители получают пароли следующими путями: Перехват открытого текста: Большое количество протоколов (Telnet, FTP, HTTP) используют передачу незашифрованные паролей при передаче по сети между клиентом и сервером. Нарушитель с помощью анализатора протоколов может "слушать" сеть в поисках таких паролей. Никаких дальнейших усилий не требуется; нарушитель может начать немедленно использовать эти пароли для регистрации в систему (сеть). Перехват зашифрованного текста: Большинство протоколов, однако, использует некоторое шифрование паролей. В этих случаях нарушителю потребуется провести атаку по словарю или "подбор пароля" для того, чтобы попытаться провести дешифрование. Заметим, что вы по-прежнему не знаете о присутствии нарушителя, поскольку он/она является полностью пассивным и ничего не передает по сети. Взлом пароля не требует того, чтобы передавать что-нибудь в сеть, тогда как собственный компьютер нарушителя используется для аутентификации вашего пароля. Повторное использование: В некоторых случаях нарушителям нет необходимости расшифровывать пароль. Они могут повторно передать зашифрованный пароль в процессе аутентификации. Кража файла с паролями: Вся база данных пользователя обычно хранится в одном файле на диске. В ОС UNIX этим файлом является /etc/passwd (или некоторое зеркало этого файла) и в ОС Windows NT это SAM-файл. В любом случае, как только нарушитель получает этот файл, он/она может запускать программы взлома (описанные выше) для того, чтобы найти слабые пароли внутри данного файла. Наблюдение: Одна из традиционных проблем при защите паролей заключается в том, что пароли должны быть длинными и трудными для расшифровки (для того, чтобы сделать Dictionary и Brute Force взломы неприемлемыми). Однако часто такие пароли очень трудно запомнить, поэтому пользователи записывают их где-нибудь. Нарушители могут часто обыскивать рабочие места пользователей для того, чтобы найти пароли, записанные на небольших клочках бумаги (обычно под клавиатурой). Нарушители могут также подглядывать пароли, стоя за спиной пользователя. Социальный инжиниринг: Наиболее распространенный (удивительно успешный) метод - просто позвонить пользователю и сказать: "Привет, это Леха из отдела автоматизации. Мы пытаемся решить некоторые проблемы в сети, кажется, что они исходят от твоего компьютера. Какой пароль ты используешь?". Многие пользователи в такой ситуации называют свой пароль. (Во многих корпорациях существует политика, которая предписывает пользователям никогда не выдавать свой пароль, даже своим собственным подразделениям автоматизации, но этот метод по-прежнему является успешным. Одним из легких способов выполнить его заключает в звонке новичку, который работает менее месяца, и спросить у него пароль, затем взломать их, сделав это таким образом, что они долго будут помнить :-)
Каким образом нарушители проникают в системы?
Основные пути, по которым нарушители проникают в систему: Физическое вторжение. Если нарушитель имеет физический доступ к компьютеру (т.е. они могут использовать клавиатуру или часть системы), они смогут проникнуть в нее. Методы могут быть различными - от специальных привилегий, которые имеет консоль, до возможности использования части системы и снятия винчестера (и чтения/записи его на другой машине). Системное вторжение. Этот тип хакерской деятельности предполагает, что нарушитель уже имеет учетную запись в системе как пользователь с невысокими привилегиями. Если в системе не установлены самые последние патчи защиты, у нарушителя есть хороший шанс попытаться совершить известную атаку для получения дополнительных административных привилегий. Удаленное вторжение. Этот тип хакерской деятельности подразумевает, что нарушитель пытается проникнуть в систему через сеть с удаленной машины. Этот нарушитель действует без каких-либо специальных привилегий. Существует несколько типов такой хакерской деятельности. Например, нарушитель тратит гораздо больше времени и усилий, если между ним или ей и выбранной машиной установлен МСЭ. Заметим, что системы обнажения атак на уровне сети прежде всего имеют отношение к удаленному (дистанционному) вторжению.
Каким образом NIDS сравнивает сигнатуры с входящим трафиком?
Трафик состоит из IP-пакетов, проходящих через сеть. NIDS способна захватывать эти пакеты по мере их прохождения через сеть. NIDS состоит из специального TCP/IP-стека, который разбирает IP-пакеты и TCP-потоки. Затем они применяет некоторые из следующих методов: Проверка стека протокола. Большое количество атак, таких как "Ping-Of-Death" или "TCP Stealth Scanning" используют, лежащие в основе всего стека протоколов TCP/IP, нарушения в IP, TCP, UDP и ICMP-протоколов для того, чтобы атаковать компьютеры. Простая проверка системы может показать недопустимые пакеты. Эта проверка может включать контроль допустимых, но подозрительных пакетов, таких как, например, несколько фрагментированных пакетов. Проверка прикладных протоколов. Большое количество атак используют недопустимые режимы протоколов, например, "WinNuke", который использует недопустимые параметры NetBIOS-протокола. Для того чтобы эффективно обнаруживать эти атаки NIDS должна заново реализовать широкий ряд прикладных протоколов для того, чтобы обнаруживать подозрительные или недопустимые действия. Создание новых регистрируемых событий NIDS может быть использована для расширения возможностей подсистемы аудита вашего ПО управлению сетью. Например, NIDS может просто регистрировать все протоколы на уровне приложения, используемые на компьютере. Системы регистрации событий в поступающем потоке данных (Windows NT Event Log, UNIX syslog, SNMP TRAPS и т.д.) могут затем сравнивать эти события с другими событиями в сети.
Каким образом обнаруживаются атаки?
Есть два основных способа обнаружения атак. Распознавание сигнатуры является наиболее распространенным методом, при котором входящий/исходящий трафик сравнивается с известными "сигнатурами". Например, большое число TCP-соединений с различными портами указывает на то, что кто-то занимается сканированием TCP-портов. Обнаружение аномалий является другим методом, когда отклонения от основного режима функционирования описываются такими параметрами как внезапное увеличение трафика, использование CPU, обращения к файлом и т.д.). Этот метод менее эффективный, чем распознавание сигнатуры, но имеет преимущество, которое заключается в том, что он может улавливать атаки, для которых нет сигнатур. Обнаружение аномалий с этой точки зрения является более теоретическим и представляет собой тему для интенсивных исследований (некоторые исследователи получают степень Ph.D. просто классифицируя сигнатуры), особенно в области нейронных сети, нечеткой логики или других методов искусственного интеллекта. Обратите внимание, что обнаружение может осуществляться как в реальном масштабе времени, так и путем чтения журналов регистрации уже прошедших событий.
Какими являются некоторые наиболее распространенные варианты использования?
1.8.1 CGI-скрипты
CGI-программы являются незащищенными "по умолчанию". Типичные уязвимости включают прохождение зараженных данных непосредственно к командной оболочке, использование скрытых уязвимостей, конкретизирующих любое имя файла в системе, или, иначе, открывающих гораздо больше информации о системе, чем надо. Наиболее хорошо известная ошибка CGI - это 'phf'-библиотека, поставляемая вместе с NCSA httpd. 'Рhf'-библиотека может быть использована для получения любого файла с Web-сервера. Другие хорошо-известные CGI-скрипты, которые нарушитель возможно попытается использовать: TextCounter, GuestBook, EWS, info2www, Count.cgi, webdist,cgi, php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail. Если вы видите, что кто-то пытается получить доступ к одному или всем из этих CGI-скриптов (и вы не используете их), то это ясно указывает на попытку вторжения. 1.8.2 Атаки на Web-сервер
Помимо выполнения CGI-программ, Web-сервера имеют другие возможные дыры. Большое количество Web-серверов (включая IIS 1.0 и NetWare 2.x) имеют "дыру", из-за которой название файла может включать ряд последовательностей "../" в названии пути для перемещения еще куда-либо в файловой системе и получения любого файла. Другая широко распространенная ошибка - это переполнение буфера в поле запроса или в одном из остальных HTTP-полей. 1.8.3 Атаки на Web-броузер По-видимому, Web-броузеры компаний Microsoft и Netscape имеют уязвимости (хотя, конечно, в самых свежих версиях, насколько нам известно в данный момент, пока еще они не найдены. Что не отрицает их наличия - примечание переводчика). К таким атакам можно отнести URL-, HTTP-, HTML-, фрейм-, JavaScript-, Java- и ActiveX-атаки. URL-поля могут стать причиной переполнения буфера, в процессе обработки в заголовке HTTP или выполнении в некоторой форме. Также старые версии Internet Explorer содержали ошибку, позволяющую выполнять файлы с расширением .LNK или .URL. HTTP-заголовки могут использоваться для реализации атак путем передачи информации полям, которые не предназначены для приема этой информации. HTML-теги часто могут быть использованы для атаки (например, MIME-переполнение в теге
