Безопасность в Интернет

Поздравляю всех вас с наступившими Новым годом, веком и тысячелетием!
Надеюсь они будут более безопасными для нас и наших сетей...

Не хотел бы с первого в этом году номера загружать вас отказами, троянами, VPN'ами и firewall'ами, поэтому, в сегодняшнем номере -- общая статья Брюса Шнайера об информационной безопасности, перевод которой был предоставлен мне питерской компанией Конфидент, давно и успешно работающей на рынке средств защиты информации.

Компьютерная безопасность: Мы научимся чему-нибудь или нет?

Если мы чему-либо научились за последние пару лет, так это тому, что ошибки в компьютерной безопасности нельзя устранить до конца. В прессе постоянно появляются сообщения о проникновениях в компьютеры и уязвимостях в программах, но многие люди все еще верят, что следующий продукт, следующая версия программы сделают ее по-настоящему безопасной. «Вот теперь нечего бояться», -- говорят они. На самом деле, это не так.

Безопасность -- это процесс, а не продукт. Продукты обеспечивают некоторую защиту, но для организации единственным способом эффективно заниматься своей деятельностью в мире, полном опасностей, является такая организация своей защиты с учетом того, что в продуктах всегда имеются ошибки безопасности. Идея заключается в том, чтобы уменьшить ваш риск независимо от того, какими продуктами вы пользуетесь и какие исправления для них установлены.

Рассмотрим атаки отказа в обслуживании (DoS-атаки), которые являются самыми старыми и самыми простыми. Более того, в феврале 2000 года с помощью скоординированных распределенных DoS-атак был легко заблокирован доступ к нескольким крупным Web-сайтам, включая Yahoo!, eBay, Amazon.com и CNN (см. выпуски #6 и #7 моей рассылки -- А.Б.).

Рассмотрим атаки с переполнением буфера. О них впервые упоминалось в начале 60-х годов, но известны они были еще до этого. В 70-х годах они часто использовались для начала атак против первых сетевых компьютеров. Самый громкий случай использования этого вида атак произошел в 1988 году, когда «Червь Морриса» использовал переполнение буфера в программе fingerd в Unix.

Сегодня, спустя 10 лет после «Морриса» и 35 лет после первых атак такого рода, вы думаете, что сообщество специалистов по безопасности решило проблему уязвимостей, связанных с переполнением буфера? Около 2/3 всех бюллетеней CERT в 1998 году описывали уязвимости, связанные с переполнением буфера. В 1999 году в среднем за неделю были найдены новые уязвимости, связанные с переполнением буфера в криптографическом пакете RSAREF(!), в операционных системах HP, Solaris, Windows NT, в программах Microsoft IIS 4.0, Site Server 3.0 и Internet Explorer.

Рассмотрим алгоритмы шифрования. Частные (proprietary) алгоритмы шифрования регулярно публикуются и взламываются. Снова и снова рынок учится, что частные алгоритмы шифрования -- это плохая идея. Но компании и корпорации -- такие как Microsoft и консорциум DVD, производители сотовых телефонов и т. д. -- продолжают предпочитать разработанные ими алгоритмы публично известным и бесплатным.

Кто-нибудь обращает внимание на эти проблемы?

Огромная потребность компьютерной сферы в продуктах безопасности заставляет множество людей во всем мире заниматься их проектированием, разработкой и внедрением. Из-за нехватки экспертов среди специалистов, занятых этой деятельностью, процент людей, обращающих внимание на указанные выше проблемы, оказывается совсем мал.

Большинство продуктов со встроенными средствами защиты были спроектированы теми, кто не обладал знаниями в области безопасности. Даже продукты, предназначенные исключительно для обеспечения безопасности, обычно проектируются и разрабатываются людьми, имеющими скромные специальные знания. Безопасность не может быть протестирована, как тестируются обычные продукты. Бета-тестирование никогда не позволит выявить все слабые места защиты, поэтому в поставляемых продуктах всегда обнаруживаются какие-либо уязвимости.

Я постоянно удивляюсь тому, какие ошибки выявляются в продуктах для обеспечения безопасности. Я видел программу шифрования файлов с пользовательским интерфейсом, случайно сохранявшим ключ в открытом виде. Я видел VPN, в которых файл конфигурации модемной линии случайно позволял каждому подключиться к серверу или которые позволяли одному удаленному клиенту просматривать файлы любого другого удаленного клиента.

Никто не обращает на это внимания, так как никто за это не отвечает.

Для продуктов в области компьютерной безопасности, как и для любых других программ, используется очень неподходящая модель качества. Ведь это не автомобиль, не здание и не еда. Если вы покупаете обычный товар и пострадали из-за дефекта в нем, вы можете подать в суд... И вы выиграете. Автомобилестроители не смогут избежать ответственности, если их автомобили будут рассыпаться при нагрузке; универсам не сможет избежать ответственности, если вы купите коробку с полуфабрикатами, в которой будет лежать дохлая крыса. И просто невозможно представить, чтобы прораб сказал что-то вроде: «Ой. По дому пошла трещина. Извините. Подождите немного, пока появится здание 1.1 -- в нем не будет никаких строительных дефектов».

Программы -- это совсем другое дело. Они продаются без каких-либо гарантий. Ваша база данных с платежами клиентов может разрушиться, приведя к банкротству вашей компании, и вы не сможете возбудить иск против компании-производителя программ. Ваш текстовый процессор может случайно повредить ваши файлы так, что их будет не восстановить. Ваш межсетевой экран может оказаться полностью неэффективным -- было бы не намного хуже, если бы его совсем не было, -- и снова это будут ваши проблемы. Microsoft, не удосужившись извиниться, предлагает использовать Hotmail, содержащий ошибку, которая дает возможность любому получать доступ к информации 40 миллионов его подписчиков, даже не зная их паролей.

Производители программ и в дальнейшем не станут создавать качественные продукты, так как они не несут ответственности за свои ошибки. Для продуктов, обеспечивающих безопасность, это означает, что производители не будут делать продукты, которые на самом деле обеспечивают безопасность, так как никто не сможет наказать их, если выяснится, что они делали ложные заявления о качестве своего продукта.

Отсюда можно сделать вывод, что рынок не будет поощрять настоящую безопасность. Она сложнее, медленнее, и дороже, как при проектировании, так и при внедрении. Так как покупатели не могут отличить настоящую безопасность от фальшивой, единственный способ для производителя завоевать рынок -- это разрабатывать программы, небезопасные в той степени, которая позволяет выкрутиться в случае обнаружения ошибок в них.

Microsoft знает, что надежные программы невыгодны. Согласно исследованиям 90-95 % всех ошибок безобидны. Они никогда не будут обнаружены пользователями, и они не повлияют на производительность программы. Гораздо дешевле выпустить программу с ошибками и исправить те 5-10 % ошибок, которые будут найдены и на которые люди пожалуются.

Получая сообщения о новых уязвимых местах в ее программах несколько раз в неделю, Microsoft исправляет те ошибки, которые может, пишет вводящие в заблуждение пресс-релизы о тех ошибках, которые не может исправить, и ждет, пока внимание прессы к этой теме не пропадет (а это всегда происходит). И через полгода она выпускает следующую версию программы с новыми возможностями и новыми уязвимостями.

Единственное решение этой проблемы -- адекватные процессы безопасности (или организационные меры).

Полной безопасности не существует и, что интересно, это не всегда необходимо. В американской индустрии кредитных карт из-за мошенничества ежегодно теряется 10 миллиардов долларов, но ни Visa, ни MasterCard не собираются прекращать свой бизнес. Ущерб от краж в магазинах США предположительно составляет от 9,5 до 11 миллиардов долларов в год, но вы никогда не услышите, чтобы этот факт был назван в качестве причины банкротства магазина. Недавно мне нужно было нотариально заверить документ. Это один из самых тупых протоколов безопасности, который я видел. Тем не менее он хорошо работает для данной цели.

Безопасность не должна быть полной, но риски должны быть контролируемыми. Индустрия кредитных карт понимает это. Она знает, как оценить потери от мошенничеств. Ее проблема заключается в том, что потери от транзакций с кредитными картами по телефону в 5 раз больше, чем потери от транзакций при физическом контакте людей (когда предоставляется сама карта). Потери от транзакций через Интернет во много раз больше, чем потери от транзакций по телефону, и именно это привело к появлению протокола SET.

Мое впечатление от киберпространства заключается в том, что люди не понимают его рисков и слишком верят, что технологии защитят их. Но сами по себе продукты не могут решить проблемы. Индустрии компьютерной безопасности необходимо изменить концепцию защиты. Контрмеры продаются как способы противодействия угрозам. Хорошее шифрование продается как способ предотвратить перехват информации. Хороший межсетевой экран -- это способ защититься от сетевых атак. PKI продается как управление полномочиями, благодаря чему вы можете избежать чрезмерного наделения полномочиями тех людей, в отношении которых вы не должны этого делать. И так далее.

Такой подход полностью неправилен. Безопасность стара, она старше, чем компьютеры. И подход старых фирм, работающих в этой области, заключается в том, что контрмеры рассматриваются не как способ противостоять угрозам, а как способ уменьшить риск. Отличие в подходах огромно. При защите от угроз вы либо защищаетесь от них, либо нет. Уменьшение риска постоянно: существует некоторая степень риска, которую вы считаете допустимой, и такая, которую вы квалифицируете как недопустимую.

Процессы безопасности описывают, как следует избегать или уменьшать риск. Аналогично использованию процессов перекрестного бухгалтерского учета, внутреннего и внешнего аудита для защиты финансов, организациям необходимо использовать ряд процессов безопасности (организационных мер) для защиты своих сетей. Процессы безопасности не заменяют продукты -- они являются способом эффективного использования таковых, поскольку помогают уменьшить риски. Продукты сетевой безопасности всегда будут иметь какие-либо уязвимости. Следовательно, необходимы соответствующие процессы как для оперативного обнаружения попыток использования атакующими этих уязвимостей, так и для устранения выявленных уязвимых мест. Серьезные системные уязвимости могут скомпрометировать целые продукты и сервисы (вспомним о сотовых телефонах, протоколах передачи пароля в Microsoft Windows NT или DVD) -- значит, необходимы процессы для восстановления системы после компрометации и продолжения бизнеса.

Вот два примера того, как можно разработать процессы безопасности для корпоративной сети:

1. Посмотрите на список известных уязвимостей. Большинство успешных сетевых атак использовало уязвимости, для которых уже существовали исправления, устранявшие их. Почему? Либо сетевые администраторы не установили эти исправления, либо пользователи переустановили уязвимые системы. Легко быть умным в отношении первого, но также важно быть бдительным в отношении второго. Существует множество способов проверить наличие известных уязвимостей. Есть сканеры сетевых уязвимостей, такие как Netect и SATAN. Телефонные сканеры, такие как PhoneSweep, могут обнаружить «вражеские» модемы внутри вашей организации. Другие сканеры помогут выявить уязвимости на Web-сайтах. Используйте продукты этих типов регулярно и анализируйте результаты их работы.

2. Постоянно осуществляйте мониторинг ваших сетевых продуктов. Почти все содержимое вашей сети может постоянно выдавать информацию для аудита: межсетевые экраны, системы обнаружения атак, маршрутизаторы, серверы, принтеры и т. д. Большая ее часть не нужна, но и в ней могут обнаружиться следы успешных атак. Анализ этой информации жизненно необходим для обеспечения безопасности, так как атака, обошедшая защиту одного продукта, может быть обнаружена другим. Например, атакующий может использовать уязвимость в межсетевом экране и обойти IDS, но попытка получить доступ к внутреннему серверу с полномочиями суперпользователя будет отражена в логах аудита этого сервера. Если у вас есть процесс для анализа этих логов, вы оперативно обнаружите атаку.

В этой статье и в других публикациях я высказывал пессимистическую точку зрения на будущее компьютерной безопасности. Компьютеры будут усложняться, но сложность -- это проклятие для безопасности. Поэтому единственное, что стоит делать -- это стараться максимально уменьшить риск. Вы не можете полностью защититься от угроз, но вы в состоянии уменьшить риск.

Ни в одной области нашей жизни мы не доверяем технологии в такой степени. Никто ведь не говорит: «Этот дверной замок столь эффективен, что нам не нужна полиция и уголовный кодекс». Продукты работают, но только до определенной степени, поэтому вам необходимы процессы для поддержания эффективности их работы.

Еще раз обращаю ваше внимание, что старые выпуски моей рассылки вы можете прочитать в Архиве.

В следующем номере -- о том, какими свойствами должна обладать "правильная" частная виртуальная сеть (VPN).

Искренне ваш, Андрей Бочаров