Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Jun21 - Jul04] Security Info digest #34

Новости компании

• Низкоуровневый шифратор IP - трафика сетевого уровня "ViPNet"с криптоядром "Домен-К" (тезисы доклада Игнатова Владимира Владимировича - вице-президента компании Инфотекс).

Зачем нужно следить за деятельностью сотрудников? Согласны ли они подвергаться такому контролю? Давайте обратимся к недавним исследованиям в сфере компьютерной безопасности, проводившимися независимыми организациями и ФБР: оказывается, финансовые потери вследствие порчи или уничтожения данных в результате воздействия вирусов, занесенных сотрудниками (случайно или намеренно), и убытки, связанные со снижением производительности труда, исчисляются миллионами и даже миллиардами долларов.

Согласно данным из отчета ФБР, в 1999 г. общие убытки от повреждения данных составили 1,6 трлн долларов, и немалая их часть была вызвана компьютерными вирусами, поражавшими глобальное сообщество Internet. Несанкционированное использование сотрудниками сети также нанесло солидный ущерб. Американские компании потеряли примерно 500 млн долларов из-за непроизводительных трат рабочего времени их пользователями — на загрузку пиратских программных продуктов, поиски порнографии в Web и общение по электронной почте на темы, не относящиеся к работе. Если сюда добавить удвоение (в 1999 г. по сравнению с предыдущим) числа краж по сети внутренних корпоративных данных, что обходилось корпорациям в среднем по 1,2 млн долларов за каждый инцидент, то картина получится довольно удручающая.

Чтобы противостоять этим угрозам, многие организации проводят кампании мониторинга, в ходе которых отслеживается использование сотрудниками информационных ресурсов. Такой мониторинг позволяет своевременно выявлять случаи нарушений правил доступа к корпоративным информационным фондам и недопустимого их использования, а также пресекать нежелательные действия. В настоящей статье обсуждаются технические аспекты, возможности и ограничения методов мониторинга деятельности сотрудников.

На старт... внимание... начали?
Хотя проблем обеспечения конфиденциальности в Internet существует достаточно много, мы остановимся на мониторинге активности сотрудников в пределах сети предприятия. Под контролем должны находиться процедуры просмотра Web, файлы-«плюшки», использование электронной почты, активные элементы информационного наполнения (например, апплеты Java и объекты ActiveX), опасные для окружающих мобильные программы (например, «троянские кони», гибридные вирусы, макросы, исполняемые сценарии), а также неудачные попытки входа и различные случаи отказа в обслуживании.

Прежде чем приобретать средства мониторинга активности, компании следует разработать для сотрудников четкие правила использования ресурсов Internet, Intranet, Extranet и важнейших приложений в рамках политики информационной безопасности предприятия. Эта политика должна определять, что разрешено или запрещено пользователям, какие их действия будут отслеживаться и какие ответные меры в случае необходимости приниматься. Одним из наиболее эффективных средств профилактики нарушений является обнародование корпоративной политики мониторинга со всеми ее подробностями.

Еще одно полезное сдерживающее средство — предупреждающие баннеры. Они напоминают пользователям о том, что их действия могут контролироваться, а нарушители корпоративной политики, равно как и национального и местного законодательства, могут быть привлечены к ответственности как представителями компании, так и правоохранительными органами. Баннеры-предупреждения лучше всего показывать сотрудникам при регистрации в домене или при обращении к определенным приложениям, использование которых изначально предполагает расширенный доступ к информации (такие, как браузеры Web, электронная почта, программы учета кадров, финансовые приложения). После того как вся подготовка будет завершена, нужно определить, за какими видами трафика следует вести наблюдение.

Криминальное досье
Практически каждое устройство в сети генерирует записи о событиях и помещает их в файл журнала регистрации, который затем можно просматривать с помощью соответствующих средств. Эти события генерируются как базовой операционной системой, так и установленными в ней приложениями. События наиболее общего типа фиксируются программой-демоном syslog; она работает, как правило, в системе типа UNIX и может быть настроена на ведение журнала с нужной степенью детализации.

Помимо систем UNIX, события syslog генерируются также маршрутизаторами, коммутаторами и даже некоторыми межсетевыми экранами. Среди других типов событий отметим события Windows NT, события различных приложений, а также события заказных программных систем, например те, которые включены в интерфейс LEA (Log Export API) компании Check Point, с помощью которого можно в режиме реального времени получать статистику о работе систем Firewall-1 и VPN-1.

Каждый из таких протоколов событий создает журнальный файл; в нем содержатся записи об использовании соответствующих программ и устройств, а также о работе их сетевых интерфейсов. Кроме того, многие сетевые устройства можно настроить так, чтобы вместо записи в журнал — или вместе с ней — генерировалось прерывание SNMP. Затем сообщения SNMP передаются по сети на станцию мониторинга (она заранее настраивается на прием этой информации), где они интерпретируются и на их основе составляются предупреждения, которые выдаются на консоль мониторинга для уведомления сотрудников службы безопасности или специалистов по поддержке.

Наиболее критичными точками сети, нуждающимися в контроле, являются серверы аутентификации, серверы авторизации, серверы каталогов, серверы баз данных, серверы файлов и принтеров, серверы доступа, межсетевые экраны, proxy-серверы, почтовые серверы и шлюзы VPN. Установив все узкие места в сети, где создаваемый пользователями трафик наиболее интенсивен или представляет особый интерес, можно выбрать устройства и соответствующие им виды трафика, за которыми нужно будет вести наблюдение.

Стражи порядка
Чтобы защитить информационные ресурсы и проконтролировать способы их использования, вам потребуется установить средства мониторинга для инспектирования деятельности сотрудников, составления отчетов и, в случае необходимости, ограничения возможностей пользователей. Наиболее яркие примеры таких средств — Enterprise (компания WebSense) и Xstop (компания 8e6 Technologies): они поддерживают и инспектирование, и ограничительные меры. Эти программы не только выдают подробные отчеты о перемещениях в среде Web, но и могут ограничить доступ к определенным адресам URL.

Эффективность этих инструментов Web во многом зависит и от того, как они используются. Наиболее рациональный метод мониторинга и ограничения доступа к ресурсам Web заключается в использовании proxy-сервера Web. Если прочие решения приводят в отчете мало о чем говорящий IP-адрес или имя узла, то решения на базе proxy-сервера однозначно идентифицируют пользователя, обратившегося к ресурсам сервера, и сопоставляют его с активностью, наблюдавшейся на proxy-сервере (см. Рисунок 1). Это возможно благодаря тому, что пользователям, пытающимся получить доступ к какому-либо URL-адресу, предлагается перед этим пройти аутентификацию на proxy-сервере Web с помощью браузера. Без аутентификации сеанс пользователя можно было бы идентифицировать только по сведениям, предоставленным базовыми протоколами, — т. е. по IP-адресу или имени узла.

Рисунок 1. Решения на базе proxy-сервера, в отличие от прочих средств мониторинга, позволяют однозначно идентифицировать пользователя, обратившегося к ресурсам сервера, и сопоставляют его с активностью, наблюдавшейся на proxy-сервере Web.

Чтобы служащие не смогли получить доступ в обход proxy-сервера Web, необходимо сделать следующее. Во-первых, браузеры сотрудников должны быть настроены на его использование. Во-вторых, в политику безопасности межсетевого экрана нужно внести требование, разрешающее доступ в Web только с proxy-сервера. Без этого условия пользователи смогут без труда обойти барьеры, воздвигаемые средствами мониторинга и ограничения доступа.

Использование proxy-сервера Web имеет один недостаток — увеличение времени отклика. Как известно, proxy-сервер разбирает проходящие через него пакеты, а затем на их основе формирует новые пакеты, чтобы они выглядели так, будто созданы непосредственно самим proxy-сервером, а не истинным узлом-отправителем, находящимся по ту сторону сервера. Таким образом, proxy-системам изначально присуща задержка вследствие реконструирования пакетов. Если от вас требуется обеспечить доступ в Web нескольким тысячам сотрудников, то решение с использованием proxy-сервера Web никак не удастся сделать простым и недорогим. Если такое решение не подходит для вашей организации, то в таком случае вам придется довольствоваться старыми добрыми журналами безопасности, генерируемыми межсетевыми экранами. В этих журналах собирается простейшая, но весьма ценная информация аудита, правда, в поле идентификатора пользователя будет стоять лишь IP-адрес или имя узла.

"Прививка" для электронной почты.
Электронная почта — еще одна зона особого внимания, причем здесь необходимо не только наблюдение, но и фильтрация.
В условиях широкой популярности различных вирусов и вирусоподобных программ (таких, как «троянские кони», «черви», макросы, гибридные вирусы) корпоративная электронная корреспонденция оказывается перед лицом серьезной угрозы. Поэтому нарушение правил работы с электронной почтой не только неблагоприятно отражается на производительности, но и подвергает риску работоспособность всей организации. Программа MAILsweeper, разработанная компанией Baltimore, выявляет и ограничивает несанкционированное содержимое электронной почты на почтовом сервере: в частности, отслеживает сомнительные программы, нежелательные типы файлов, конфиденциальные корпоративные данные, зашифрованные или защищенные паролем данные и даже комментарии расистского или сексуального характера. Мониторинг контекста и содержимого почты позволит вам эффективно предотвращать многие неприятности, которые способна причинить электронная почта.

(Окончание статьи, в котором на конкретных примерах рассматривается организация мониторинга корпоративных информационных ресурсов в режиме реального времени - в следующем выпуске рассылки...)

В середине июня в Интернете появилась новая разновидность троянского коня - небольшая программа, которая использовала компьютеры-жертвы для массовой рассылки рекламы по электронной почте, или в просторечии - спама. Программа была обнаружена, благодаря нескольким небольшим провайдерам, которые зарегистрировали спамерскую активность со стороны вполне порядочных и абонентов, пользующихся их услугами в течение длительного времени.

Проведенное расследование показало, что сами пользователи даже не подозревали о том, что являются спамерами - всем занималась специальная программа, рассылавшая рекламу порносайта, подставляя в письма имя и почтовый адрес владельца пораженного компьютера.

Как сообщил Майкл Ривес (Michael Reaves) сисадмин компании Adimpleo/FirstNetSecurity.com, первый случай появления трояна-спамера был зафиксирован 14 июня в сети Excite@Home. При этом Ривес и другие эксперты полагают, что обнаруженный троян является всего лишь пробной версией, поскольку в рекламном письме отсутствуют гиперссылки на рекламируемый порносайт, а сам троян выполнен в одном из визуальных "конструкторов", вроде Visual Basic Worm Generator.

При этом эксперты предполагают, что "коммерческая" версия трояна появится в самое ближайшее время и пользователям Интернета стоит проявлять осторожность, если они не хотят быть столкнуться с блокированием своего почтового ящика или отключением от провайдера в качестве наказания за рассылку спама.
(источник - http://news.battery.ru, опубликовано 05.01.2001)

На днях суд по делам несовершеннолетних предъявил обвинение некоему Джейсону Швабу (Jason Schwab), 18-ти лет от роду, в том, что он в апреле 2000 г. взломал компьютер NASA, установленный в исследовательском центре им. Эймса в Северной Калифорнии.

По заявлению NASA, во время упомянутого взлома на компьютере были изменены некоторые файлы и добавлено несколько нелегальных аккаунтов для входа в систему. Теперь Швабу инкриминируется "преднамеренный неавторизованный или авторизованный доступ в компьютерную систему, который привел к прямому или косвенному изменению, повреждению или выходу из строя любого компьютера, компьютерной сети, службы или системы".

Правда, адвокаты молодого дарования настаивают на том, что этот "хороший и честный мальчик" не имел никакого злого умысла. Он только что окончил школу и сейчас работает.
(источник - http://news.battery.ru, опубликовано 05.07.2001)

По крайней мере в течение двух недель в Сети в свободном доступе находилась программа, позволяющая получать контроль над удаленными серверами, работающими на серверном программном обеспечении Microsoft.

Хакерская программа эксплуатирует найденные недавно дыры в MS Internet Information Server (IIS). Как сообщает во вторник Newsbytes, исходный код программы был опубликован на сайте японского хакера HighSpeed Junkie на сервере бесплатных домашних страниц Yahoo! Geocities. Уязвимость "дырявых" серверов IIS достигается программой за счет переполнения буфера, в результате чего хакер может получить доступ к управлению сервером.

Выпуск хакерской программы вынудил Microsoft опубликовать заплатку для дыры в серверном программном обеспечении, на котором, по некоторым сведениям, работает около 6 миллионов веб-сайтов.
(источник - http://www.netoscope.ru/, опубликовано 04.07.2001)

По мере увеличения количества информации, передаваемой через интернет, растет и активность хакеров. Стремясь обезопасить свои данные, компании уделяют все больше внимания системам защиты.

Согласно данным, полученным в ходе нового исследования компании Frost & Sullivan, хакерские "проделки" и действия интернет-шпионов дали сильный толчок развитию рынка систем защиты и шифрования данных в Сети. Доходы компаний, занятых разработкой систем цифровой безопасности, в 2000 году составили $176 млн., а к 2007 году прогнозируется их рост до $457, 6 млн.

Старший аналитик Frost & Sullivan Брукс Лиске (Brooks Lieske) отметил интересную смену акцентов в действиях хакеров: в последнее время они не только и не столько заняты разрушительной для интернет-сервисов деятельностью и написанием вирусов, сколько тем, что не так заметно на первый взгляд, однако таит в себе куда больше опасностей - чтением чужой почты и сбором закрытой информации с сайтов и компьютеров.

В ходе исследования аналитики Frost & Sullivan пришли к выводу, что несколько государственных структур, в частности, Агентство Национальной Безопасности США и НATO, резко увеличили расходы на обеспечение безопасности своих компьютерных сетей. Более того, все больший интерес к системам многоуровневой безопасности проявляют уже не только спецведомства и военные, но и самые осторожные и осведомленные из пользователей.
(источник - http://news.battery.ru/, опубликовано 04.07.2001)

Правоохранительные органы России и США расследуют деятельность международной преступной группы, руководители которой проживают в России, сообщает ИТАР-ТАСС. Следствие установило, что эта группа через "всемирную паутину" расшифровала реквизиты плательщиков и владельцев кредитных карт и всего за несколько месяцев похитила свыше 400 миллионов долларов.

За последние два года в России количество преступлений в сфере высоких технологий возросло более чем в семь раз. И все более популярным в преступной среде становится Интернет.

В России продолжает распространяться так называемое "телефонное пиратство" - подмена городских и сотовых телефонных номеров. Согласно данным Московской городской телефонной сети и Ростелекома, только в Москве ущерб от таких преступлений достигает 12 миллионов долларов в год. Всего же за 2000 год финансовые потери Ростелекома составили 780 миллионов долларов.

По мнению правоохранительных органов, прибыльность теневого оборота специальных технических средств в России можно сравнить лишь с доходами от незаконного оборота наркотиков и оружия.
(источник - http://news.battery.ru/, опубликовано 04.07.2001)

[Jun21 - Jul04] Security Info digest #34(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В одном из самых популярных веб серверов - Apache версии <= 1.3.17 обнаружен баг, позволяющий злоумышленнику переполнить буфер одной из переменных, передаваемых функции stat() и в результате возвращающей 0 и содержимое директории вместо index.html.
Однако отметим, что необходимым условием переполнения являются включенные модули: Mod_dir, Mod_autoindex, Mod_negotiation. Так же, в конфигурации директории (Options) должны быть включены Indexes и MultiView.
Подробнее:
http://www.securityfocus.com/archive/1/193081

В smbd 2.0.7 и 2.0.8, поставляемых вместе с RedHat Linux версий 7.0 и 7.1, а возможно и в других версиях smbd обнаружена уязвимость,
позволяющая злоумышленнику при наличии прав непривелигированного локального пользователя получить уровень доступа пользователя root.
Кроме того, данная уязвимость позволяет удаленно проводить различные DoS атаки. Уязвимостью можно воспользоваться только при наличии строки
log file = /var/log/samba/%m.log в конфигурации smbd, которая присутствует в конфигурации по-умолчанию.
Временно устранить уязвимость можно убрав '%m' и указав явное название лог-файла в конфиге.
Подробнее:
http://www.securityfocus.com/archive/1/193027

Библиотека LDAP в Solaris 8 версии cодержит баг, позволяющий переполнить буфер переменной окружения LDAP_OPTIONS. Поскольку
библиотеку LDAP используют утилиты с установленным SUID битом (такие как passwd, yppasswd, nispasswd, sendmail и chkey), злоумышленник вполне может получить уровень доступа пользователя root, правда лишь при наличии прв доступа локального пользователя.
Подробнее:
http://www.securityfocus.com/archive/1/193485

В Cisco IOS, начиная с версии 11.3 и заканчивая всеми последующими, обнаружена уязвимость в процессе авторизации пользователя на входящем в состав IOS HTTP сервере.
При определенных обстоятельствах злоумышленник может обойти авторизацию и полный контроль над маршрутизатором (уровень 15).
Устранить уязвимость можно, просто отключив HTTP сервер на роутере.
Подробнее:
http://www.securityfocus.com/archive/1/193651

Обнаружена уязвимость в программном обеспечении Cisco, поддерживающих SSH (Catalyst 6000, Pix Firewall и т.д.). Уязвимости подвержена версия 1.5 SSH протокола.
Воспользовавшись уязвимостью в SSH протоколе, злоумышленник может вносить различные команды в установленное SSH соединение, собирать информацию, которая cможет быть полезной при попытках восстановления или подборе ключа сессии.
Подробнее:
http://www.securityfocus.com/archive/1/193650

Низкоуровневый шифратор IP - трафика сетевого уровня "ViPNet" с криптоядром "Домен-К".
Игнатов Владимир Владимирович, вице-президент компании Инфотекс

Тезисы доклада

Повсеместное развитие Интранет технологий, то есть объединение локальных сетей через различные сети и системы связи, даже находящиеся в пределах контролируемой зоны, и тем более использование Интернет, постоянный рост размерности самих локальных сетей предполагает уже наличие в такой сети сотен и более участников, так или иначе, получающих доступ к информационным потокам сети.

Сейчас неплохо научились защищать информацию вне локальной сети путем установки криптошлюзов на входе локальной сети или использования криптосерверов для предварительного шифрования. Но это ничего не дает при наличии злоумышленника в локальной сети.

Использование на компьютерах криптографических систем прикладного уровня, не смотря на все попытки обосновать их защищенность, тем не менее, находятся под постоянной угрозой получения доступа к их ядрам через сеть и возможности их нейтрализации, путем использования известных или неизвестных особенностей различных приложений или самой ОС.

Постоянно усложняющиеся операционные системы, а сегодня - это почти повсеместно различные типы Windows с их огромным количеством ошибок, не документированных возможностей, многообразием протоколов, огромным количеством прикладных программ, приводит к необходимости либо отказа от этих ОС, либо их замораживания, либо не устанавливать на них криптографию. Все эти решения мало кого устраивают.

Сегодня, если говорить о возможности доступа к защищаемой информации в компьютерных сетях, то, к сожалению, приходиться констатировать, что при наличии злоумышленника в локальной сети противодействовать ему очень сложно.

Единственно возможный метод защиты здесь - это обеспечить тотальный контроль сетевого трафика, поступающего и исходящего с каждого компьютера, участвующего в конфиденциальном обмене, с одновременным его шифрованием и инкапсуляцией в единый формат, то есть создать VPN на уровне каждого компьютера локальной сети, требующего защиты.

Тотальный контроль должен исключать возможность попадания на компьютер или выхода из него любых открытых IP-пакетов и обеспечивать возможность блокировки любых других протоколов сетевого уровня, контролировать протоколы защищенного трафика. Это позволяет гарантировать реальную защищенность от возможного доступа с компьютеров, не имеющих соответствующей ключевой информации. Даже попадание на компьютер программ-вирусов, пытающихся отправить трафик открытому источнику, становиться не опасным.
Такой контроль и шифрование трафика должны быть реализованы на основе использования низкоуровнего драйвера, обеспечивающего перехват всего трафика драйвера сетевого интерфейса и не зависящего от приложений, функционирующих на компьютере.

Таким образом, полностью исключается какая-либо возможность получения доступа к информации с открытых ресурсов за счет каких-либо недокументированных возможностей в прикладных системах. Появляется практическая возможность обеспечить независимость среды защиты от недокументированных возможностей операционной системы.

Индивидуализация трафика в сети позволяет легко строить внутри нее независимые или частично пересекающиеся группы компьютеров, распределенные как по локальной, так и глобальной сети, криптографически разграниченные по доступу к любой информации в сети. Становится недоступной из сети всяческая парольная информация прикладных СУБД и других систем, тем самым автоматически существенно повышается их защищенность.

При использовании подобных драйверов локальная сеть, а значит и связанные с ней другие локальные сети, становятся абсолютно устойчивыми к любым пассивным методам наблюдения, направленным на перехват информации из локальной сети, а также к взлому любых типов парольной информации, то есть наиболее типовым методам атак.

Любые активные методы возможны только со стороны пользователей, владеющих ключевой информацией. Однако такая активность легко предотвращается, путем ограничения и фильтрации протоколов обмена на каждой защищенной станции и быстро обнаруживается:
- Путем анализа журналов на станциях,
- Появления в сети нескольких объектов с одинаковыми идентификаторами и ключами,
- Появления в сети нестандартных протоколов.
То есть скрыть такую активность в сети практически невозможно.

Применение на серверах различного типа, где хранится информация многих пользователей, аппаратных методов шифрования в сочетании с драйвером сетевой защиты исключает любую, даже гипотетическую возможность, кражи ключей на серверах и со стороны допущенных пользователей.

Таким образом, совмещение функций шифрования с функциями низкоуровнего персонального сетевого экрана, применение, естественно, на компьютере средств, контролирующих целостность драйвера защиты, позволяет реально гарантировать безопасность информации и процедур шифрования на современных компьютерах со стандартными ОС и любыми сетевыми приложениями, без проведения глубокого анализа ОС и прикладного ПО в окружении.

Именно к такому типу шифраторов сетевого уровня относится низкоуровневый Драйвер защиты системы ViPNet со встроенным в него криптоядром "Домен-К", который позволяет обеспечить реальную безопасность в локальной и глобальной сети.
Разработанная в ОАО Инфотекс высокоскоростная PCI-плата ViPNet Turbo 100, обеспечивающая производительность шифрования свыше 100 Мбит/сек и работающая в режиме Master, гарантирует безопасность и серверов любого типа.

Одновременно, входящие в состав системы ViPNet:
- собственные прикладные службы "Деловой почты" с процедурами электронной цифровой подписи и жестким криптографическим разграничением доступа к электронным документам,
- различные защищенные службы реального времени,
- совмещение системы с IP-шифратором речи НТЦ "Атлас",
- поддержка карточек РИК и других носителей ключевой информации
предоставляют многие дополнительные возможности по организации гарантированно защищенного информационного обмена.

Начавшаяся в настоящее время совместно с фирмой КриптоПро разработка на базе драйвера защиты системы ViPNet и криптобиблиотек "КриптоПро" совместного продукта, позволит выпустить гарантированно защищенную криптографическую систему и для сертифицированного криптоядра "КритоПро".

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.