Безопасность в Internet- Intranet

это одна из самых ценных


Информация - это одна из самых ценных вещей в современной жизни. Появление глобальных компьютерных сетей сделало простым получение доступа к информации как для отдельных людей, так и для больших организаций. Но легкость и скорость доступа к данным с помощью компьютерных сетей, таких как Интернет, также сделали значительными следующие угрозы безопасности данных при отсутствии мер их защиты:
  • Неавторизованный доступ к информации
  • Неавторизованное изменение информации
  • Неавторизованный доступ к сетям и другим сервисам
  • Другие сетевые атаки, такие как повтор перехваченных ранее транзакций и атаки типа "отказ в обслуживании"



    • Последние несколько лет ознаменовались постепенной заменой бумажной технологии обработки информации ее электронным аналогом. Со временем можно ожидать полного вытеснения бумажного документооборота электронным. Однако представление традиционных бумажных документов в виде электронных последовательностей, состоящих из нулей и единиц, обезличивает последние. Защитных атрибутов бумажных документов: подписей, печатей и штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., - у электронного представления документов нет. Но электронные документы нужно защищать не менее тщательно, чем бумажные. Поэтому возникает задача разработки такого механизма электронной защиты, который бы смог заменить подпись и печать на бумажных документах. Т.е. необходимо разработать механизм цифровой подписи (digital signature), которая представляет собой дополнительную информацию, приписываемую к защищаемым данным. Цифровая подпись зависит от содержания подписываемого документа и некоего секретного элемента (ключа), которым обладает только лицо, участвующее в защищенном обмене. Что должен обеспечивать такой механизм?
    Во-первых, цифровая подпись должна подтверждать, что подписывающее лицо не случайно подписало электронный документ. Во-вторых, цифровая подпись должна подтверждать, что только подписывающее лицо, и только оно, подписало электронный документ. В-третьих, цифровая подпись должна зависеть от содержания подписываемого документа и времени его подписания. В-четвертых, подписывающее лицо не должно иметь возможности в последствии отказаться от факта подписи документа.
    Прежде чем описывать техническую сторону работы с электронной цифровой подписью (ЭЦП) хотелось бы коснуться правовых аспектов ее использования в России. Этот вопрос вызывает большой интерес и живую дискуссию среди специалистов. Поэтому рассказ об ЭЦП я начну именно с юридической правомочности ее использования.


    Одной из главных забот любого руководителя является стабильная и бесперебойная работа своего предприятия. Любое отклонение функционирования фирмы от нормального приводит к нанесению различных форм ущерба, например, финансовые и временные потери, потеря имиджа и т.п. В последние годы эти убытки зачастую возникают из-за нарушения политики безопасности в том или ином виде имеющейся в организации.
    Когда речь заходит об обеспечении безопасности любого предприятия первое, с чего начинается решение этого вопроса, - это физическая защита. Системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать. При этом складывается парадоксальная ситуация. У всех на слуху находятся межсетевые экраны и антивирусные системы. Именно они и приобретаются в первую очередь в случае появления в бюджете статьи на средства защиты информации. Но при этом, эти средства уже не удовлетворяют современным требованиям, предъявляемым к защитным системам. Они не отражают, и даже не обнаруживают, целый ряд очень опасных атак [1].
    По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения.
    Физическая защита - относительно статическая область, состоящая из систем разграничения доступа, систем сигнализации и, возможно, оборудования для наблюдения, позволяющих идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники должны быть определены только при помощи серии нулей и единиц [2].
    Все это приводит к непониманию со стороны руководства в необходимости приобретения различных средств защиты. И это несмотря на то, что за последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, в т.ч. и другой стране. Чтобы не утомлять читателя дальнейшими рассуждения о необходимости применения систем обеспечения информационной безопасности хочу привести только один факт. 7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo (), eBay (), Amazon (), Buy () и CNN (). 9 февраля аналогичная участь постигла и сервера ZDNet (), Datek () и E*Trade () [3]. По некоторым данным трехчасовой простой этих серверов привел к потерям, которые составляют астрономическую сумму в 6 миллиардов долларов! Проведенное ФБР расследование показало, что указанные сервера вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти сервера не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, и в 8 раз превысил максимально допустимую нагрузку на сервера, поддерживающие работоспособность Buy.
    При этом нападении злоумышленники реализовали посылку большого объема данных сразу из нескольких сотен узлов, которые были задействованы в атаке. Именно поэтому данный тип атак получил название распределенной (distributed). В этом случае атакуемые узлы захлебнулись огромным трафиком и не смогли обрабатывать запросы от нормальных пользователей. В случае с обычной реализацией аналогичной атаки необходимо иметь достаточно "толстый" канал доступа в Internet, чтобы реализовать лавину пакетов на атакуемый узел. В случае же распределенной атаки это условие уже не является необходимым. Достаточно иметь dialup-соединение с Internet. Принцип лавины или шторма пакетов достигается за счет большого числа таких относительно медленных соединений.


    Существующие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой, либо системный подход. В любом случае эти продукты ищут сигнатуры атак, специфические шаблоны, которые обычно указывают на враждебные или подозрительные действия. В случае поиска этих шаблонов в сетевом трафике, IDS работает на сетевом уровне. Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения, то это системный уровень. Каждый подход имеет свои достоинства и недостатки, но они оба дополняют друг друга. Наиболее эффективной является система обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак.


    В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.
    Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо "ручного" вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
  • "люки" в программах (back door) и программы типа "троянский конь";
  • слабые пароли;
  • восприимчивость к проникновению из незащищенных систем;
  • неправильная настройка межсетевых экранов, Web-серверов и баз данных;
  • и т.д.

    • Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
    Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: "Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?", то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc., Cisco Systems и Network Associates.
    Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.
    Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
    Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им.




    С помощью таких программ, как WinNuke, Papa Smurf и Teardrop злоумышленники могут атаковать ваши компьютеры и нанести вам ущерб. Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях 57 процентов опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30 процентов опрошенных сообщило, что имели место случаи проникновения в их сети, а 26 процентов сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступдениями в США - FedCIRC сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.
    Для защиты от атак в киберпространстве системным администраторам требуется серьезное понимание методов, используемых атакующими для проникновения в компьютеры. Вы не можете бороться с врагом, если не знаете, как устроено оружие, которым он пользуется. В данном бюллетене описываются приемы атакующих и методы защиты от них.


    В этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования. Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения увеличил свою заработную плату.


    В этой истории рассказывается об внутренней сетевой атаке против начальника отдела автоматизации большого медицинского учреждения его озлобленным подчиненным.


    В этой истории рассказывается о внутренней сетевой атаке с использованием знаний о ней, организованной сотрудником, которому доверяли, против почтового сервера, использовавшегося верхним звеном управления организацией. В ее ходе были прочитаны чужие письма, что вызвало проблемы у руководства организацией и привело к раскрытию важной персональной информации тем сотрудникам, которым она не должна была быть известна.


    Эта история описывает, как уволенный сетевой администратор подарил на прощание "подарок" своей организации, выведя из строя ее сеть.


    В эпиграф к статье вынесена выдержка из закона об авторском праве и смежных правах от 9 июля 1993 года. В законе есть достаточное количество статей стоящих на страже авторства на программное обеспечение или на базы данных, вот только нарушаются они сплошь и рядом как в России, так и за ее пределами: процветает нелегальное копирование продукции, взлом программного обеспечения и откровенное воровство баз данных. К всеобщему горю Россия остается одним из главных потребителей пиратской продукции, поскольку в стране имеется солидный спрос на продукцию софтверных компаний, а уровень доходов населения не позволяет покупать лицензии по общемировым ценам. Отсюда и бешенный спрос на пиратскую продукцию, которая появляется невзирая на системы защиты от копирования, которые производители устанавливают на свои разработки. Вскрывается все, ну или почти все! Причин масса, это и слабое Российское законодательство, вернее законодательство хорошее, только вот его исполнение плохое. Также причиной пиратства является ценовая недоступность легальных копий продукта, в силу высокой стоимости - стоимость по мировым ценам, а зарплата в России далеко не мировая.
    Ну, вот еще один защитник запада нашелся - подумает читатель и будет не прав! Несостоятельность Российских законов приводит к тому, что все отечественные компании, которые умеют делать софт на должном уровне ничего, или почти ничего не делают для внутреннего, Российского рынка, уходя в различные совместные предприятия, работая на западные рынки ПО. Здесь на лицо то, что принято называть утечкой мозгов, по крайней мере в софтверной области. Россия, имея все что нужно для производства ПО мирового уровня практически ничего не делает для внутреннего рынка, поскольку получить с него доход весьма и весьма сложно.
    Остаются на месте только крупные компании, которые уже сделали себе имя, и имеющие стабильное количество легальных пользователей (пример тому бухгалтерские и правовые программы). Кстати, на заре 90х годов практически каждая из данных компаний разрабатывала свою систему защиты от копирования с той или иной степенью надежности. Также в середине 90х годов многими компаниями применялась тактика физического воздействия на торговцев продукцией, но и эта мера не возымела должного эффекта.
    Итак, что мы имеем?
    1 - невозможность компаниями-разработчиками ПО выпускать релизы для внутреннего рынка, в силу вышеописанных причин,
    2 - не имеем полноценного законодательства, которое не только декларирует права, но и ревностно отслеживает их исполнение (рейды по злачным местам раз в год - не в счет).
    Так мы плавно подошли к одному возможному выводу - раз законодательства пока нет, значит необходимо своими силами защищать программное обеспечение при помощи тех программных средств, которые будут противодействовать пиратам заполонять рынок контрафактной продукцией. Может здесь и получится нечто полезное, ведь получилось же некоторым компаниям-производителям игр сделать так, что их официальная продукция пользуется высоким спросом, даже несмотря на то, что наравне с легальной продукцией продается и пиратская.
    Добиться удалось это и Российским и западным компаниям. Российским удалось защитить свои продукты мудреными защитами, а западные смогли предоставить он-лайн сервисы, при наличии которых пользователь расширяет возможности продукта (если говорить об играх, то это, как правило, доступ к серверам для многопользовательской игры). Значит не все так плохо! И бороться за рынок ПО можно, правда пока дополнительными средствами и мудреными защитами!
    Статья, которую Вы держите в руках является попыткой автора посмотреть на рынок специальных программных средств для охраны авторского права, которые запрещают нелегальное копирование или изменение программное обеспечения. Автор попытался найти компании, которые предоставляют свои продукты для защиты. В основе положены два критерия выбора средств защиты: они должны быть или очень известными или еще не вскрытыми… Как выяснилось в процессе анализа, известность фирмы не означает, что ее продукция окажется сверхнадежной.
    Теперь, непосредственно о защите. Давайте попробуем выдвинуть ряд критероиев, которые можно предъявить к подобной системе защиты, чтобы она смогла стать популярной:
  • Защита должна быть с большим запасом прочности. Учитывать высокий уровень пиратов вообще, и Российских в частности, способная противостоять их натиску долгое время;
  • Не использовать для защиты дорогие дополнительные аппаратные приспособления, которые только повышают стоимость защиты, а стало быть, и конечного продукта;
  • Не привязываться к аппаратной конфигурации компьютера, поскольку персональный компьютер не есть вещь в себе, и его отдельные компоненты могут и должны быть заменяемыми по мере старения;
  • Должна быть основана на оригинальных принципах защиты от взлома. Показателем критерия может служить тот факт, что защита еще не взломана, либо взломана, но всеми возможными способами;
  • Не препятствует свободному копированию защищенных данных (должна запрещать только несанкционированный запуск, то есть копируется копировщиком, но не исполняется);
  • Несущественно удорожает стоимость конечного продукта.



    • Расширенные возможности и разнообразие систем анализа защищенности очень часто затрудняют выбор из них наилучшей. Заказчикам очень трудно оценить такие системы. Следовательно, необходим набор непротиворечивых критериев, которые позволят сделать правильный выбор между различными системами анализа защищенности, предлагаемыми на российском рынке.
    Этот документ описывает процесс, следуя которому Вы сможете оценить и выбрать систему анализа защищенности, наиболее полно отвечающую требованиям Вашей сети. Мы поможем Вам задать правильные вопросы поставщику средств анализа защищенности; поможем Вам понять, как лучше тестировать предлагаемые продукты; и поможем Вам обосновать решение при покупке выбранного Вами продукта.
    Типичный процесс выбора состоит из трех этапов:

    1. Определение требований. Решите, что нужно именно Вам?
    2. Оценка продукта. Выберите тот продукт, который соответствует Вашим требованиям.
    3. Развертывание продукта. Установите и настройте выбранный Вами продукт наиболее эффективно.

    На каждой стадии процесса выбора мы рекомендуем связываться с производителем или поставщиком системы анализа защищенности, чтобы быть уверенным в правильности сделанных Вами выводов или решений.
    После изучения данного документа, Вы сможете понять Ваши требования, объективно оценивать предлагаемые системы анализа защищенности, выбирать из них соответствующее решение и эффективно применять их в Вашей организации.
    |


    Год 1996, 4 июня, вторник, космодром во Французской Гвиане. 9 часов 33 минуты 59 секунд. Первый запуск ракеты-носителя Ariane 5. Ракета взмывает в небо и через 40 секунд после старта взрывается на 50-метровой высоте. Ущерб составил по различным данным от пятисот миллионов до шести миллиардов долларов. Через полтора месяца, 19 июля, был опубликован исчерпывающий доклад комиссии по расследованию, в результате которого выяснилось, что взрыв произошел из-за ошибки переполнения одной из переменных в программном обеспечении бортового компьютера ракеты. Небольшая, на первый взгляд, уязвимость в программном обеспечении привела к столь значительному ущербу. Это типичный, но далеко не единственный случай, который демонстрирует опасность, возникающую в результате появлении в корпоративной сети различных уязвимостей.

    Содержание раздела