| |
|
| |
| |
|
| |
Catalyst 4500E
Семейство модульных корпоративных коммутаторов 3-го уровня. |
|
|
| |
|
|
Главная | Защита информации | Иллюзия безопасности |
Иллюзия безопасности
Профессионализм разработчиков и специалистов по безопасности обеспечивает надежную защиту информационных систем.
Беспечность и безграмотность пользователей сводит результаты их усилий к нулю.
День, который перевернул мир
| |
|
 |
|
| |
|
К.Ф. - М.Н., руководитель направления Конкурентной разведки в Интернете НОУ «АИС», президент Консорциума Инфорус. Руководитель ряда успешных проектов по аналитическому оснащению банков, ФПГ, крупных торговых сетей, государственных организаций. В прошлом – подполковник ФАПСИ, лауреат стипендии РАН «Выдающийся ученый России» (1993). Автор многочисленных публикаций и ведущий семинаров по проблемам поиска и анализа данных в ряде университетов России и США. Подробнее об авторе >
|
|
| |
|
|
|
| |
|
|
|
| |
|
Цель тренинга: На практических примерах обучить слушателей использованию современных поисковых технологий в реальных задачах маркетинга и управления компанией. Подробнее >
|
|
…Одиннадцатого сентября 2001 года, когда начали рушиться небоскребы, я летел из Москвы в Вашингтон. Нас развернули во Франкфурте и после нескольких часов неразберихи вернули в Россию. Однако вечер, вынужденно проведенный перед экраном CNN в VIP-зале Франкфуртского аэропорта (да еще в соответствующем эмоциональном состоянии), позволил мне окончательно осознать одну из основных проблем, порожденных новой войной: проблему потрясающего разрыва между информационным оружием, применяемым на государственном уровне и полной неготовностью к самозащите на уровне компаний и отдельных граждан.
Вам не показался странным один факт из хроники того страшного дня? 90% фирм, находящихся в башнях-близнецах, смогли тогда за отведенные судьбой 15 минут эвакуировать свой персонал. Однако только ОДНА фирма (одна из нескольких тысяч) — Фонд Оппенгеймера — смогла обеспечить сохранность своей информационной системы. И то только потому, что после взрыва в подвале Всемирного торгового центра в начале 90-х ввела в практику тренинги персонала на случай новых терактов. Все остальные, включая офисы ЦРУ и Комиссии по ценным бумагам США, потеряли свои базы данных (во многих случаях — ценнейших данных) и объявили о существенных разрушениях своих информационных систем. Если бы представители этих фирм удосужились заблаговременно обратиться к специалистам (хотя бы за получасовой консультацией), они бы с удивлением узнали, что физическое разрушение сервера компании (и даже офиса компании) НЕ МОЖЕТ привести к потере данных и сбоям в работе информационной системы — разумеется, если компания имеет элементарное представление о современных методах информационной защиты. Увы, большинство из нас воспринимает компьютерные вирусы, хакеров и террористов (а также малярийных комаров и конголезских глистов) как некую экзотическую заразу, предмет интереса специалистов-паразитологов, и не учитывает исходящие от них угрозы при планировании повседневного бизнеса.
А напрасно. Небывалая активность в обсуждении тем обеспечения безопасности привела к весьма печальному результату. Страшное чувство беспомощности и беззащитности, охватившее обывателей после 11 сентября, постепенно прошло и сменилось гораздо более коварной иллюзией защищенности. И, что печально, создатели всевозможных средств информационной защиты активно поддерживают эту иллюзию. Давайте рассмотрим несколько наиболее распространенных заблуждений на этот счет. Итак..
Один в паутине…
Вот лишь первая дюжина из доброй сотни заблуждений, на которых зиждется наша уверенность в собственной безопасности.
1. Простое отключение компьютера от сети обеспечит информационную безопасность
Первое и самое распространенное заблуждение — что достаточно отключиться от Интернет и выключить компьютер, чтобы надежно защититься от атаки из Всемирной паутины. Увы, это не так. Первое, что делает хакер, нанятый Вашим противником — собирает досье на вас. В Интернете уже содержится достаточно сведений, позволяющих составить ясное представление о ваших слабых местах и возможных способах компрометации.
Приведу лишь один пример для иллюстрации этого тезиса. Года два назад для выполнения одного из заказов по т.н. «активной защите» понадобился хакер с достаточно специфическим набором знаний и навыков. Мне порекомендовали одного программиста, однако впрямую продемонстрировать свои таланты он отказался, буркнув «кому надо, меня и так знают». И ушел. Спустя пару недель на мой домашний адрес (не электронный, настоящий) пришло письмо «Уважаемый г-н Масалович, поздравляем, Вы выиграли в нашем электронном казино 100 долларов». К письму прилагался чек от респектабельного американского банка. Через неделю пришло аналогичное письмо, на этот раз из Канады. После третьего письма я позвонил этому пареньку и сказал: «Напрасно ты это. Чеки я обналичивать не буду, тебя сдам на первом же допросе, а вообще приезжай — есть работа». А теперь представьте, что хакер проводит подобный взлом, прикрываясь не моей, а Вашей персональной информацией, «обувает» казино не на 100 долларов, а на сто тысяч и при этом намеренно «засвечивается». Да не пугайтесь. Рано или поздно Вы, наверное, оправдаетесь — и перед службой безопасности казино, и перед Интерполом.
И это не абстрактная угроза. Существенная часть обращений к специалистам по информационных кампаниям в Интернет сегодня касается не взлома конкретных компьютеров и локальных сетей, а сбора досье на определенных лиц и их последующей компрометации. В канун выборов интенсивность этой деятельности многократно возрастает.
Отсюда правило: Занявшись обеспечением собственной информационной безопасности, начните с вопроса — а что именно увидит противник, начав собирать досье на Вас в открытых источниках? А поняв, насколько Вы были беспечны и ужаснувшись, предпримите некоторые простые шаги для усложнения задач атакующего.
2. Парольная защита обеспечивает безопасность
Средства парольной защиты операционных систем и прикладных программ непрерывно совершенствуются и их заявленная стойкость достигла заоблачных высот. Это действительно так. Однако защищает ли это Вас? Вот у меня на компьютере свежая версия MS Windows, крутая и лицензионная. А вот маленькая программка пенсионного возраста (ей уже года три). Программа работает всего секунду (т.е. не занимается перебором и взломом паролей) — и показывает на экране список логинов и паролей всех пользователей данного компьютера, а также их учетные записи для выхода в Интернет (включая логины, пароли, номера телефонов и имена провайдеров). Секрет прост. Ваша любимая ОС Windows, по одной ей понятным соображениям хранит в кэше открытые копии использованных паролей.
Отсюда правило: используя какие-либо средства парольной защиты, поинтересуйтесь у специалистов об их слабых местах.
3. Чем длиннее и сложнее пароль, тем он надежнее
Сегодня каждый ребенок знает, что не надо использовать короткие пароли, простые пароли типа Iloveyou или комбинации из своего имени и даты рождения. И все понимают, что чем длинне и сложнее пароль, тем он надежнее. Это так, но..
Вот свежий пример. Одним из внешних проявлений класса хакера или компьютерного специалиста (особенно молодого) является элегантный номер вашей «аськи». Если ваш адрес ICQ, к примеру, 77777, то все понимают, что вы несравнимо круче, например, обладателя адреса 68193725 из того же чата. И за красивыми номерами ICQ идет настоящая охота. Вот так и мне некоторое время назад друзья-компьютерщики преподнесли в подарок изящный номер из единиц и семерок — пафосное свидетельство статуса владельца (а может, статусное свидетельство пафоса). Я поставил длинный и сложный (как мне казалось) пароль и почти сутки наслаждался элитным адресом. В следующую ночь его увели навсегда.
Отсюда правило. Технологии взлома паролей постоянно совершенствуются, соответственно изменяются и требования к паролям. Регулярно освежайте свои знания на этот счет и обновляйте пароли в соответствии с требованиями времени.
4. Антивирусная программа защищает компьютер от хакеров
 Однажды нам нужно было провести комплексное тестирование крупной корпоративной системы на предмет уровня защиты от типовых атак. Поэтому приглашенным хакерам была поставлена задача не просто взломать систему, а попытаться составить картину обобщенных действий взломщика. Логика рассуждений исполнителей показалась мне любопытной:
в качестве оружия они, разумеется, выбрали троянского коня, но не существующего (они известны и ловятся) и не нового (типовому взломщику лень писать что-то с нуля). Они решили сделать клон-невидимку известного трояна, исходный код которого доступен в Интернет
В качестве объекта атаки они выбрали не компьютер корпоративной сети (они защищены межсетевым экраном и хорошо контролируются), а домашний компьютер одного из руководителей;
при этом предпочтительным объектом атаки они назвали (внимание!) не «голый» компьютер, а машину с установленной антивирусной программой конкретного российского производителя. Наличие современного антивируса оказалось идеальным средством маскировки троянской программы;
Прошло несколько лет. Почтенный производитель антивирусов сменил слоган и теперь именуется не antivirus company, а information security company. А еще он выпустил новое поколение антивирусов. Впрочем, старенький клон известного трояна, изготовленный тогда для примера (точнее его безвредная демоверсия), по-прежнему невидим для лидера антивирусного рынка (что странно, поскольку старый McAffy в свое время без труда опознал чужака и даже идентифицировал его генеалогию).
Отсюда правило… Хотя, какое тут правило. Без комментариев.
5. Межсетевой экран и средства обнаружения вторжений обеспечат мне, наконец, надежную защиту
Разумеется, бронированная дверь защитит вас от автоматной очереди (любой производитель с гордостью и даже некоторой обидой продемонстрирует вам соответствующие сертификаты). Она даже защитит вас от проникновения чужака — но только до тех пор, пока ваша домработница сама не откроет двери, услышав волшебную фразу типа «срочная телеграмма для хозяина» или «перепись населения». Ну хорошо, скажете вы, нерадивую домработницу я уже уволил, и даже оплатил ей лечение проломленной головы. А еще поставил сигнализацию на все окна и тепловые датчики в каждую комнату. Теперь я могу чувствовать себя в безопасности?. Вероятно, да. До того момента, пока не обнаружите, что родная жена (которую уже не отучить курить в постели) всегда держит открытой форточку в спальне, для чего научилась отключать местную сигнализацию.
В общем, не хочу вас расстраивать, но вполне вероятно, что ключевые настройки вашего персонального межсетевого экрана уже отключены сыном-старшеклассником, большим любителем клубнички и халявного софта.
6. Комплексные системы информационной безопасности обеспечивают надежную защиту крупных систем
Вот уже третий год я веду еженедельную колонку «Новые атаки хакеров» (ее можно найти, например, на сайте консорциума Инфорус — http://www.inforus.org/). Хочу привести один пример из этой подборки. Прослышав о регулярных успешных атаках хакеров на крупные правительственные и корпоративные системы, одна из известных американских фирм (между прочим, входящая в Fortune 100) пригласила специалистов по активной защите для проверки стойкости своей информационной системы. Специалисты сделали следующие шаги:
Потратили десять минут, чтобы выяснить, что система достаточно профессионально защищена и взлому не поддается.
Потратили шесть часов на то, чтобы составить списки ключевых сотрудников фирмы (а главное — их секретарей и референтов).
Потратили два часа на тестирование телефонов этих сотрудников (а также всех номеров в диапазонах между близко расположенными известными номерами).
Потратили минуту на взлом ноутбука секретарши одного из боссов, оставленного в офисе с подключенным к телефонной линии факс-модемом
Потратили шесть часов на то, чтобы проникнуть в корпоративную сеть под паролем этой секретарши, получить права сисадмина, захватить полный контроль над корпоративной сетью и разобраться во внутрифирменной дисциплине обеспечения безопасности.
Когда на следующее утро президент фирмы явился на работу, в его электронной почте уже ждала служебная записка, составленная взломщиками от лица непосредственного начальника несчастной секретарши со следующим текстом: «Прошу премировать сотрудницу такую-то за проявленную бдительность». Президент с удовольствием подписал прошение.
7. Свежие версии антивирусных программ и средства обнаружения вторжений более надежны
Примерно год назад произошло событие, почти полностью перечеркивающее все ваши (и наши) усилия по обеспечению информационной безопасности. Благие намерения ЦРУ по информационному контролю за компьютерами террористов привели к созданию специализированной троянской программы с условным названием «Волшебный фонарь». Лояльные и законопослушные фирмы-разработчики средств информационной защиты пообещали сделать эту программу невидимой для всех своих новых программ — и сделали. Прототип этой программы, кстати, уже был опробован американскими спецслужбами на территории России при охоте за парой молодых хакеров с Урала — опробован без каких-либо согласований с российской стороной (этот факт всплыл уже на суде). Согласитесь, неприятно сознавать, что в вашем компьютере тайно ковыряются чужие дяди из далекой страны, пусть и с самыми чистыми побуждениями. А теперь представим себе, что будет когда «Волшебный фонарь» ЦРУ попадет в руки террористов. Кстати, с большой долей вероятности, уже попал — если вспомнить, с какой легкостью террористы завладели спорами сибирской язвы из американских лабораторий.
8. Патчи от производителей избавляют от старых «дырок» в программах
Фирмы выпускают новые программы. Хакеры находят в них новые дырки. Фирмы выпускают патчи, в которых эти дырки ликвидированы и считают проблему решенной. А проблема остается. Ни у вас, ни у ваших коллег нет дисциплины регулярного обновления программ и формальной ответственности за этот процесс. Существенная часть программ на ваших компьютерах остается уязвимой еще много дней (и даже месяцев) после того, как разработчик прекращает обсуждение старой — и, как он считает, уже исправленной — бреши в защите. Поэтому хакерские программы автоматического сканирования компьютеров в Интернет в первую очередь проверяют наличие старых версий ПО с известными уязвимостями.
9. Программы криптозащиты обеспечивают защиту ваших данных
Увы, и здесь должен разочаровать: стойкость большинства программ защиты данных намеренно ограничена, чтобы обеспечить гарантированное раскрытие ваших данных силами спецслужб той или иной страны. Зачастую это специально регламентируется законодательством. Более того, во многих из них предусмотрен скрытый системный пароль для открытия данных по требованию «старшего брата» (кстати, безграмотность тех, кто требовал его введения, часто приводила к катастрофическому ослаблению уровня стойкости программы).
Можно вспомнить совершенно курьезный способ взлома Windows NT, получивший условное название «Теперь ты во Франции». Когда Windows NT только входила в моду, любой злоумышленник мог подойти к компьютеру, где был установлен предельный уровень защиты данных, и просто изменить ряд открытых параметров настройки, задав в качестве географической зоны Францию. Умная операционная система, видя несоответствие установленного уровня защиты требованиям национального законодательства (а во Франции были введены специальные ограничения) полностью отключала защитные функции.
10. Аппаратный ключ обеспечивает более высокий уровень защиты
Не скрою, я и сам долгое время считал аппаратные ключи более надежным средством защиты, чем программные (подобно тому, как сейчас многие благоговеют перед средствами проверки отпечатков пальцев или аутентификации по роговице глаза). Пока однажды нас не попросили обеспечить реальную защиту программного комплекса с помощью аппаратных ключей. Мы купили типичный ключ и пригласили типичного хакера. Ключ продержался полчаса. Мы выбрали компоненты помощнее и хакеров покруче. Защита продержалась сутки. Шаг за шагом мы наращивали уровни защиты, включая всевозможные программные усиления аппаратного ключа. Спустя три месяца группа хакеров объявила, что при достигнутом уровне защиты они уже не возьмутся за взлом — слишком долго и хлопотно. В итоге фирма получила реальную защиту своих программ, правда, затратив при этом около 9000 долларов (вместо планируемых 100). К счастью, заказчик изначально осознавал необходимость таких вложений в безопасность.
11. Анонимайзеры обеспечивают вашу анонимность
Часто бывает, что вам хотелось бы скрыть от посторонних глаз последовательность своих действий в Интернет (возможно, вы занимаетесь систематическим сбором информации по некоторой перспективной технологии, а может быть, просто любите блуждать по сайтам знакомств). Первое, что приходит на ум для сохранения «неприкосновенности частной жизни» в Интернет — воспользоваться одной из многочисленных программ-анонимайзеров, которая обещает скрыть от посторонних глаз вашу главную «визитную карточку» в Интернет — IP-адрес. Увы, здесь вас ждет сразу три разочарования.
Как всякий любитель халявы, вы, вероятно, используете бесплатный анонимайзер с митинского рынка (либо скачанный из Интернета). Знайте, что очень многие из них содержат backdoor, а некоторые специально предназначены для накопления информации о пользователях.
На вашем компьютере (или на компьютере провайдера) уже может стоять т.н.sniffer — программа контроля вашего траффика. Сегодня это не такая уж экзотика, особенно если выбранной вами тематикой интересуются и конкуренты.
Значительная часть сети (даже страшно представить, насколько значительная) сегодня покрывается глобальными средствами слежения. Наиболее известна из них американская система Эшелон». Достаточно трудно доказать и обнаружить ее существование, но легко привести множество примеров, подтверждающих наличие подобного механизма (и не поддающихся объяснению другими способами).
Отсюда правило: обеспечить собственную безопасность и анонимность в Сети можно, но не с помощью анонимайзеров, а совершенно другими методами.
12. Меня не коснутся атаки хакеров — зачем я им нужен?
Одно из двух: или у вас есть враги и конкуренты, или их нет. В первом случае эти злобные и беспринципные существа не остановятся ни перед чем в своих грязных попытках причинить вам вред — даже перед использованием Интернета. Во втором случае ваш компьютер, тихий и незаметный, является идеальным «аэродромом подскока» для организации атак на другие машины. И в том и в другом случае могу гарантировать — ваш компьютер «попробуют на зубок» в течение первого часа пребывания в Интернете.
Прискорбный вывод из всего вышесказанного:
Профессионализм разработчиков и специалистов по информационной безопасности обеспечивает надежную защиту наших информационных систем.
Наша беспечность и безграмотность сводит результаты их усилий к нулю.
Идет информационная война, которая так или иначе уже коснулась всех обитателей Сети. И определенный ликбез в этой области насущно необходим каждому.
***
Кстати, когда глубокой ночью 11 сентября 2001 года, после всех перипетий нас наконец вернули в Москву, в почтовом ящике домашнего компьютера меня уже ждало письмо из Токио. Письмо было примерно такого содержания: «Мы тут вспомнили, как Вы что-то говорили о методах активного противодействия информационному терроризму. Не могли бы Вы срочно организовать семинар в Токио о российских подходах к информационной защите». Спустя месяц в Японии с большим успехом прошел первый российский семинар по информационной безопасности. А еще через три месяца четыре японских фирмы под патронажем почетного президента фирмы NEC г-на Секимото инвестировали первый миллион иен в создание Российско-японского IT-центра. Вот так. Российское оружие информзащиты котируется и признается на мировых рынках. Как говорится, сам Бог велел изучать его и нам, россиянам.
|
|
|
Главная | Защита информации | Иллюзия безопасности |
|
.jpg)
