Отправляет email-рассылки с помощью сервиса Sendsay

Защита информации, виртуальные сети, безопасность.

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Декабрь 2002  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Автор
Сергей

Статистика

6.817 подписчиков
+263 за неделю
  Все выпуски  

Защита информации, виртуальные сети VPN. Технология ViPNet. #80 от 15.12.2002


Информационный Канал Subscribe.Ru

Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

15 декабря 2002. Выпуск #80

(С) ОАО "Инфотекс"


Здравствуйте, уважаемые подписчики!

Корпоративных конечных пользователей ожидает целый ряд опасностей, таящихся в сети, - от вредоносного кода до социального инжиниринга. Защитив своих пользователей, вы тем самым защитите и компанию.

Как защититься от этих напастей, рассказывает Эндрю Конри-Мюррей в своей статье "Защита конечных пользователей от атак".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.
Содержание выпуска:


"Защита конечных пользователей от атак"
 


Новости и события в области защиты информации
 

Новости компании Инфотекс
 
"Защита конечных пользователей от атак"



Введение
Oбеспечивая безопасность корпоративных конечных пользователей, администраторы традиционно полагаются на механизмы сетевого уровня. Брандмауэры и антивирусные шлюзы отделяют ПК в локальной сети от непредсказуемого и опасного Internet.

Однако распространение мобильных устройств и рост числа их пользователей пошатнули понятие периметра сети. "Пять лет назад мобильной связью пользовались 5% населения, а сегодня эта цифра превысила уже 50%. Это застало администраторов врасплох", - сетует Стейси Лам, исполнительный директор Info-Express, разработчика продуктов информационной защиты.

Фактически граница сети потеряла смысл даже для пользователей корпоративной сети. Критические деловые приложения - электронная почта и Web - могут создать неприятности даже при плотном заслоне. Почтовые сообщения проникают через строго охраняемые шлюзы SMTP. Программы обмена файлами и немедленного обмена сообщениями (Instant Messaging, IM) делают бессмысленной работу брандмауэров.

Любая грамотная система безопасности помимо заграждения на уровне сети должна быть дополнена решениями для защиты отдельных ПК и конечных пользователей. Множество подобных продуктов поставляется в виде клиентского ПО, но одной из наиболее эффективных методик является обучение.


Зачем атаковать ПК?
Злоумышленники атакуют ПК конечных пользователей по нескольким причинам. Создатели вирусов хотят получить доступ к почтовому клиенту и адресной книге, так как каждый зараженный компьютер - еще одна "звезда на фюзеляже".

ПК - это потенциальный "хост-зомби", т. е. он в любое время может быть вовлечен в атаку для осуществления распределенного отказа в обслуживании (Distributed Denial of Service, DDoS). ПК также может быть использован для хранения краденой информации, например номера кредитных карт или подборки порнографии.

Наконец, возможно, самая важная причина - злоумышленники воспринимают ПК как стартовую площадку для более серьезных вторжений.

"Пользовательские компьютеры хранят множество паролей, дающих доступ к серверам и другим частям корпоративной системы, - напоминает Джон Пескатор, вице-президент компании Gartner Group по исследованиям. - Захватить их намного легче, чем напрямую атаковать корпорацию".

Эту точку зрения разделяют и другие эксперты. "Хосты обычно защищают не так тщательно, как серверы, поскольку считается, что они хранят меньше ценной информации, - говорит Стюарт Макклюр, президент и технический директор Foundstone. - Но из них можно извлечь огромное количество данных, необходимых для проникновения в другие, более чувствительные и защищенные системы, при этом риск быть обнаруженным немного меньше".


Образ хакера
Наиболее эффективные инструменты злоумышленника - деловой костюм и телефон.

Согласно распространенному заблуждению, хакер - это длинноволосый, татуированный, асоциальный тип, питающийся гамбургерами и не следящий за собой. Если бы такой человек подошел к вам и попросил пароль или попробовал последовать за вами в охраняемое место, у вас неминуемо возникли бы подозрения.

Ну а когда вежливый господин в деловом костюме скажет, что забыл карту доступа и попросит впустить его, вы согласитесь? Судя по словам злоумышленников, проделывавших такое, чаще всего ответ звучит как "да".

"Если вы имеете презентабельный вид профессионала, то люди сделают для вас поистине удивительные вещи", - утверждает Брайан Келли, президент и генеральный директор компании iDefense, занятой в области безопасности.

По словам Келли, во время проверки, устроенной для клиента, ему достаточно было просто подождать около двери информационного центра с кодовым замком. Кроме костюма и галстука у Келли не было каких-либо идентифицирующих знаков. Вскоре подошел один из сотрудников и спросил, не может ли он чем-то помочь. Келли пожаловался, что забыл пароль, на что ему был дан ответ: "А, пароль - 5213". Все! Физический доступ к наиболее ценным ресурсам компании был получен.

Это пример социального инжиниринга, или попросту обмана. Он основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг - наименее техническое, но и наиболее эффективное средство в арсенале злоумышленника.

По словам Макклюра, пользоваться подобными приемами настолько легко, что результаты теста на проникновение, выполненного с их помощью, оказались удивительными: "Это абсолютно тривиально. В любой компании, где работает более 100 - 150 человек, легко получить от кого-либо намного больше информации, чем он вправе предоставить".

Находится в офисе, чтобы воспользоваться социальным инжинирингом совсем не обязательно. Вполне хватит и телефонного звонка. Наиболее распространенная тактика - позвонить кому-нибудь и назваться сотрудником отдела ИТ. Во многих случаях вам назовут имя пользователя и пароль.

Опытные злоумышленники могут даже уговорить сотрудников атаковать другие компьютеры. Макклюр говорит, что один из членов его команды проникновения убедил помощника администратора запустить атаку по методу "грубой силы" против компьютера соседа. Выдавая себя за администратора, проверяющий попросил его попытаться подобрать пароли к другому компьютеру, владельцем которого был финансовый директор.

Создатели вирусов и "червей" также используют разные виды социального инжиниринга. Один из методов - создание привлекательного заголовка почтового сообщения с вирусом. Например, вирусы Naked Wife и Anna Kournikova эксплуатировали интерес к порнографии. Другие вирусы спрятаны в программах-шутках, анимационных роликах и даже антивирусных обновлениях.

Как же остановить социальный инжиниринг? "Цена вопроса - 64 млн долларов, - замечает Макклюр. - Единственным успешным методом противодействия является обучение". Конечных пользователей следует информировать о правильных действиях, в особенности в случае телефонных звонков. Например, научить их проверять, что звонят действительно из отдела ИТ, или объяснить, что администратор никогда не станет узнавать пароли по телефону (если это соответствует политике безопасности).

Что касается физического доступа, пользователей надо предупредить о недопустимости пропускать за собой незнакомых людей - зачем же тогда проход в здание защищается картами или осуществляется по пропускам. В таких случаях сотрудники должны направлять людей без идентификационных карт в специально отведенное место, например в приемную при входе.

Такие меры могут помочь, но Макклюр предупреждает, что все равно "инженеры душ" могут преуспеть в своем деле: "Эта угроза никогда не исчезнет, так как опытный злоумышленник все равно сможет проникнуть за большинство преград. Но основная масса взломщиков будет отсеяна".


Повысим сознательность
Так и напрашивается представить пользователя потенциальной жертвой хакера. И если вы не примете мер, так оно и будет.

"Мы должны четко определить роль пользователя в обеспечении достойного уровня безопасности, - замечает Келли. - Наше внимание постоянно занято технологиями, будь то брандмауэры, системы обнаружения вторжения или PKI. Но без участия людей система всегда будет уязвимой".

Первый шаг - повысить важность безопасности в глазах сотрудников. Вы не сможете этого добиться, просто предоставив всем информацию о вирусах. Даже ознакомившись с ней, пользователи вряд ли изменят свое ежедневное поведение. Необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов: негативное и позитивное. Негативное означает наказание за проступок в отношении соблюдения мер безопасности. Например, если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему будет сделан выговор. Если кто-либо оставил свой ноутбук включенным, то проверяющий заберет его, вынудив владельца прийти и получить его снова.

Другой метод - "привязать" заботу о безопасности к годовому отчету о деятельности сотрудника, что заставляет понять ее важность. "В конце концов, ответственность за безопасность ложится на каждого", - подчеркивает Келли.

Негативное подкрепление может иметь место в корпоративной среде, в особенности для предотвращения серьезных нарушений, например установки неавторизованной точки доступа или модема. Однако, если программа предусматривает только наказания, это может возыметь обратный эффект, создавая противостояние "мы против них" между отделом безопасности и пользователями.

Позитивное подкрепление обеспечивает большую кооперацию, воодушевляя сотрудников на заботу о безопасности. Например, вместо прочесывания офиса в поиске нарушителей политики, сотрудникам отдела безопасности можно дать более приятное поручение - установить, кого из пользователей следует поощрить за точное следование инструкциям.

Келли рассказал историю одной проверки в финансовой компании. Вместе с сотрудником отдела безопасности они зашли в здание напротив, вооружившись парой биноклей, и, заняв место около окна, просматривали информацию о пользователях по мере ее появления на экранах мониторов. По словам Келли, один из сотрудников компании заметил их и тут же связался с отделом безопасности.

Вместо обычной похвалы Келли порекомендовал немедленно выдать этому сотруднику чек на 500 долларов, что и было сделано. "Один лишь этот эпизод возымел большое действие, по мере того как история обошла компанию", - вспоминает Келли.

Воспитывать сознательность помогают и обучающие программы, но администраторам не следует полагаться на проводимые раз в год презентации. "Это должен быть постоянный процесс с вовлечением сотрудников, - советует Келли. - Эффекта добиваются в тех компаниях, где к заботе о безопасности подходят творчески".

Неплохим уроком послужит демонстрация хакерских методов, взлома паролей, социального инжиниринга. Это интересней, чем сухие факты, изложенные в официальном документе, и лучше отложится в сознании людей. Еще одно простое решение - рассылка сообщений на тему безопасности всем пользователям. Такие компании, как PentaSafe и iDefense, предоставляют средства ежедневной или еженедельной рассылки.

При создании обучающих программ отдел безопасности может сотрудничать с кадровым отделом. Согласовать деятельность отделов непросто, но, по словам Келли, специалисты по работе с персоналом более чувствительны к проблемам пользователей и привычны к проведению обучающих программ.

По окончании обучающей программы вам, возможно, захочется оценить ее эффективность. Самый простой способ - провести исследование в рамках компании. PentaSafe предлагает пакет программ для регулярного тестирования сотрудников на предмет знаний правил безопасности. Администраторы могут отслеживать результаты тестов во времени. Другой способ - организовать справочную службу. Возможно, пользователи чаще будут обращаться по поводу подозрительных файлов или задавать вопросы на тему безопасности.

Вне зависимости от методов обучения, наиболее важно обеспечить взаимодействие. "Корпорации тратят много времени и денег на разработку политики, которую они размещают на сайтах Web, но не удосуживаются организовать грамотную обратную связь с сотрудниками", - говорит Келли. Такую возможность терять нельзя, так как большинство пользователей с предпочитают придерживаться правил, если только знают, как следует поступать.


Средства защиты ПК
Как правило, пользователи не причиняют ущерб намеренно, они просто не знают о привносимом ими риске. (Обратите внимание на разницу между теми, кто неумышленно подвергает сеть опасности, и нарушителями, сознательно пытающимися украсть информацию или причинить ущерб. В данной статье внимание уделяется первым.)

"Суть проблемы в том, что большинство конечных пользователей имеют слишком большой контроль над установкой ПО на компьютеры, - полагает Пескатор. - Они имеют привычку загружать программы и проверять их в действии на месте даже в самых консервативных компаниях".

Подобная склонность чревата множеством неприятностей: случайной загрузкой "троянца", например BackOrifice или SubSeven, или брешью в брандмауэре вследствии установки системы обмена сообщениями.

У компаний есть два выбора при контроле устанавливаемого пользователями ПО: настроить ПК так, чтобы запретить всякую установку, или добавить ПО, предотвращающее опасность.

У каждого из методов свои недостатки. Ограничение пользователей в установке ПО, по словам Пескатора, может привести к увеличению нагрузки на службу технической поддержки: "Пользователям зачастую необходимо загрузить новый подключаемый модуль или приложение. Из-за того, что для этого нужны права администратора, они вынуждены обращаться в отдел поддержки".

И наоборот, при установке новых программ администратору придется работать с каждым ПК компании. К этому стоит добавить капитальные затраты на само ПО.

Для тех, кто выбирает второй метод, приводится подборка решений, которые можно использовать для защиты отдельных машин.


Необходимые средства

  • Антивирусные программы. На каждом ПК и ноутбуке должна быть установлена антивирусная программа. Сигнатуры вирусов должны регулярно обновляться. При этом автоматическое обновление предпочтительнее пользовательского. Это поможет избежать ситуаций, когда сотрудники забывают загружать новые сигнатуры и подвергают сеть опасности.
  • Клиенты VPN. Сеть VPN обеспечивает целостность и конфиденциальность данных дистанционных и мобильных пользователей. Клиенту VPN предоставляется шифрованный туннель в корпоративную сеть через Internet, защищающий данные от любопытных глаз. VPN включает цифровой сертификат для аутентификации устройства, но необязательно пользователя, получающего доступ к сети.

К сожалению, если злоумышленнику удастся установить "троянца" на удаленную машину, то он сможет либо проследить за текущим сеансом, либо инициировать свой, получив все права пользования в сети. Это называется "захват VPN". По словам экспертов, такой захват сложно осуществить, но администраторы должны быть осведомлены о недостатках туннелей VPN.

Альтернативой клиентам VPN является протокол защищенных сокетов (Secure Sockets Layer, SSL). Используя те же протоколы, что применяются для защищенных интерактивных покупок, мобильные пользователи могут получать доступ к сети по шифрованному каналу. Не привязывая к конкретным устройствам с клиентом VPN, методы доступа на базе SSL дают возможность получить доступ к корпоративной сети через браузер Web.

  • Персональные брандмауэры. Персональные брандмауэры представляют собой "настольные" версии серверного ПО и осуществляют те же функции. Что самое важное, такие программы ограничивают доступ к ПК извне, следя за входящим и исходящим трафиком и запрещая все соединения через неавторизованные порты.

Персональные брандмауэры полезны для обнаружения проникающих в ПК "троянцев". Они позволяют централизованно администрировать систему в целях соблюдения корпоративной политики безопасности.

Обратите внимание, что персональные брандмауэры надежны на 100%. Порты 80 и 443 обычно открыты, поэтому как зловредные, так и обычные, но незащищенные программы работают поверх HTTP. Персональные брандмауэры можно дополнить антивирусным ПО, блокираторами поведения и сканерами для контроля за программами наподобие клиентов обмена сообщениями или файлами.


Рекомендуемые средства

  • Смарт-карты/токены. Смарт-карты и токены решают проблему кражи паролей с помощью двойной аутентификации, т. е. пользователю для входа в систему необходимо иметь карту или токен. В таком случае невозможно будет воспользоваться украденным паролем без сопутствующего устройства.

Двойная аутентификация обеспечивает на порядок более надежную защиту, чем просто пароли, но все имеет свою цену. На ПК должны быть установлены устройства чтения карт, а это предполагает значительные капитальные затраты. Для токенов такие устройства не нужны, но сами по себе они дороже, чем карты. И смарт-карты, и токены требуют создания серверной инфраструктуры и могут увеличить затраты на поддержку в случае их утери пользователями.

  • Блокираторы поведения. Зловредный код в виде вирусов, "червей" или "троянцев" постоянно угрожает ПК. Несмотря на то что антивирусные средства способны предотвратить большинство заражений, между выпуском вируса и созданием для него сигнатуры проходит некоторое время.

Блокираторы поведения решают эту проблему, поскольку им не нужны сигнатуры. Вместо этого специальные клиенты следят за исполняемым кодом. Обнаруженная попытка несанкционированного действия немедленно пресекается. Подобные решения носят превентивный характер по отношению к зловредному коду.

С другой стороны, блокираторы поведения могут вмешиваться в работу обычных приложений, нарушая рабочий процесс и, возможно, приводить к волне обращений в службу поддержки. Администраторы должны позаботиться о создании правил для обеспечения безопасности без нарушения рабочего процесса.

  • Агенты аудита. Многие администраторы пользуются устройствами аудита для сканирования мобильных ПК перед разрешением доступа в корпоративную сеть. Обычно проверяют, установлена ли на ПК последняя версия антивирусной программы или нужная версия браузера, а также отсутствуют ли запрещенные приложения. Если машина не удовлетворяет требованиям, то пользователя переадресуют на сайт Web для загрузки необходимой "заплаты" или к администратору за дальнейшими указаниями.


Эндрю Конри-Мюррей - редактор отдела бизнеса Network Magazine. С ним можно связаться по адресу: amurray@cmp.com. (опубликовано в журнале "LAN" #11/2002).

 
Новости и события в области защиты информации

Десять новых уязвимостей в Windows
Корпорация Microsoft выпустила на днях три новых бюллетеня о безопасности, в которых описываются десять новых уязвимостей в операционных системах семейства Windows. Опасность новых дыр оценивается по-разному - от низкой до критической.

Наибольшее число дыр - восемь штук - рассматривается в бюллетене MS02-069, все они касаются виртуальной машины Java (JVM), поставлявшейся в комплекте со всеми версиями Windows, начиная с Windows 95. В Windows NT 4.0 и Windows XP виртуальная машина Java устанавливается с соответствующими пакетами обновлений Service Pack 1. Уязвимыми являются версии виртуальной машины с номерами билдов 3805 и младше.

Самая серьезная из дыр связана с ошибками в реализации работы JVM с COM-объектами. Технология COM (Common Object Model) позволяет создавать отдельные программные модули, доступные различным приложениям. По идее, доступ к COM-объектам могут получать только Java-апплеты, которым пользователь "доверяет". Однако обнаруженная уязвимость позволяет обойти это ограничение. В результате, злоумышленник, разместивший на веб-странице или в HTML-письме специальный апплет, теоретически может захватить управление компьютером жертвы и делать с системой все, что угодно.

Следующие две уязвимости, оцениваемые Microsoft как "важные" (important), позволяют злоумышленнику получить доступ к информации на компьютере. Её, однако, можно будет только считать, но не изменить или уничтожить. Для этого хакер должен произвести подмену параметра codebase HTML-тега applet. Этот тег служит для вызова Java-апплета, а параметр codebase указывает на адрес этого апплета. Апплет может считывать данные только из каталоге, указанном в codebase. Подмена параметра делает возможным доступ к любым данным на компьютере жертвы. Обе уязвимости являются самостоятельными, но эффект от их использования одинаков.

Четвертая уязвимость, опасность которой Microsoft считает как "умеренной" (moderate), связана с возможностью подмены домена. В результате виртуальная машина будет относить апплет к одному домену, тогда как на самом деле он был загружен из другого. Для использования уязвимости злоумышленник должен заманить пользователя на страницу с апплетом расположенную на одном сайте и заставить его перейти по ссылке на другой сайт. В результате хакер получит все файлы cookie, записанные вторым сайтом на компьютер и всю информацию, введенную пользователем в расположенные на нем формы. Если пользователь подключится ко второму сайту напрямую, его информация не будет перехвачена.

Пятая по счету дыра в виртуальной машине Java также, по мнению Microsoft, умеренно опасна. Она связана с наличием ошибки в наборе программных интерфейсов (API) Java Database Connectivity (JDBC), которые служат для обеспечения доступа к базам данных с помощью апплетов на Java. Из-за ошибки вызвать функции JDBC может любой апплет, что дает злоумышленнику возможность получить доступ к базе данных с правами пользователя атакованного компьютера. Если у пользователя достаточно прав, хакер сможет искажать и удалять информацию из базы данных. Использование дыры усложняется тем, что для проведения успешной атаки злоумышленник должен знать точное имя базы данных.

Последние три уязвимости получили низкий (low) рейтинг опасности. Первая из этих дыр связана с компонентом Standard Security Manager (SSM), с помощью которого устанавливаются ограничения на выполнение Java-апплетов. По идее, доступ к SSM должна иметь только виртуальная машина, но на практике такой доступ имеют и апплеты. В результате, с помощью особого апплета можно отключить выполнение Java на компьютере жертвы. Вторая малоопасная уязвимость позволяет злоумышленнику выяснить имя пользователя, работающего с системой в данный момент. Это возможно, поскольку виртуальная машина не скрывает от апплетов значение переменной User.dir, в которой указывается путь к рабочей папке Internet Explorer. В системах семейства Windows NT имя пользователя является обязательным элементом пути к этой папке. Наконец, последняя дыра связана с тем, что неправильно инициализированный Java-объект может привести к "падению" Internet Explorer.

Всем пользователям Windows, в которой установлена виртуальная машина Java с номером билда 3805 или младше, Microsoft рекомендует незамедлительно загрузить через службу Windows Update обновленную версию (билд 3809). Чтобы выяснить версию виртуальной машины нужно запустить программу Jview. В заголовке выданного сообщения будет указан номер версии, последние четыре цифры которого и есть номер билда.

Стоит отметить, что Microsoft уже неоднократно собиралась отказаться от поставки виртуальной машины Java в комплекте с Windows. Дело в том, что по условиям соглашения с компанией Sun, создавшей Java, Microsoft не имеет права разрабатывать новых версий виртуальных машин, а может лишь отлаживать старый вариант, который по мнению софтверного гиганта содержит много уязвимых мест и просто устарел. Тем не менее, отказавшись от включения JVM в Windows XP, Microsoft все же включила поддержку Java в Service Pack 1 для этой ОС. В свою очередь, компания Sun в судебном порядке пытается добиться включения в состав Windows собственной виртуальной машины Java.

Уязвимость, описанная в бюллетене MS02-070, актуальна для операционных систем Windows 2000 и XP. В случае Windows 2000 опасность дыры характеризуется как умеренная, в случае Windows XP - как низкая, а в первом сервис-паке для Windows XP она и вовсе устранена. Дыра связана с механизмом шифрования данных при передаче их по протоколу Server Message Block, предназначенному для реализации совместного доступа к сетевым ресурсам. Этот протокол также используется для передаче данных о политиках групп пользователей от сервера к клиентам. Используя уязвимость, хакер может отключить шифрование данных, перехватывать и искажать информацию, в частности, менять групповые политики домена. Для использования дыры у злоумышленника должен быть достаточный для перехвата данных уровень доступа в сеть.

Последняя из новых дыр описывается в бюллетене MS02-071 и получила второй по серьезности рейтинг - important. Она связана с возможностью использования системного сообщения WM_TIMER для несанкционированного увеличения пользовательских привилегий. Уязвимы все ОС семейства Windows NT от версии 4.0 и старше.

Чтобы возпользоваться уязвимостью, пользователь должен войти в систему в интерактивном режиме (этот режим является стандартным при использовании компьютера в качестве рабочей станции) и запустить специальную программу. Это программа должна использовать сообщение WM_TIMER таким образом, чтобы заставить другой процесс выполнить функцию обратного вызова (callback) по заданному адресу. Если второй процесс имел более высокие привилегии, то вредоносная программа сможет получить к ним доступ. Опасность этой уязвимости несколько снижается, поскольку ее нельзя использовать удаленно. Надлежащим образом сконфигурированные серверы также не могут быть атакованы, поскольку интерактивный доступ к ним пользователей с ограниченными правами должен быть запрещен. Поэтому набольшему риску подвергаются клиентские компьютеры и терминальные серверы.

Уязвимость в реализации WM_TIMER была обнаружена уже давно, однако ранее Microsoft отказывалась признавать её заслуживающей внимания. Подробнее об этом можно прочитать в статье "В Windows найдена ошибка, которую нельзя исправить".
(источник - http://www.compulenta.ru/, опубликовано 15.12.2002)


Хакеры-антиглобалисты планируют вывести из строя сайт очередного саммита Евросоюза
Датская антиглобалистская организация Global Roots планирует провести в интернете акцию протеста против очередного саммита Европейского Союза, который пройдет в Копенгагене 12-13 декабря. Участники Global Roots собираются организовать распределенную DoS-атаку на официальный сайт саммита и вывести его из строя. В акции примут участие около 10000 человек, которые не смогут приехать в Данию и лично участвовать в демонстрациях протеста.

Как утверждают в Global Roots, 13 декабря сразу все участники акции запустят на своих компьютерах программу WebScript и попытаются перегрузить сайт ЕС ложными запросами и заблокировать к нему доступ. Продлится эта акция протеста вплоть до 15 ноября. В Global Roots утверждают, что их планы не являются противозаконными и не имеют ничего общего с хакерством - злонамеренным взломом компьютерных сетей. "Мы считаем необходимым демонстрировать свое несогласие с политикой ЕС. Люди в бедных странах умирают из-за западного либерализма", - заявил в интервью Reuters активист Global Roots Томас Йенсен.

На саммите в Копенгагене в Евросоюз должны принять нескольких новых членов из числа государств Восточной Европы. Датские власти ожидают, что в уличных акциях протеста во время саммита примут участие до 30000 человек. Что касается планов Global Roots, то представитель оргкомитета саммита выразил уверенность в том, что пропускной способности сайта хватит, чтобы противостоять коварным замыслам антиглобалистов.
(источник - http://www.compulenta.ru/, опубликовано 11.12.2002)

Почему корневые DNS-серверы оказались столь уязвимы?
Политика организации ICANN, управляющей системой доменных имен интернета (DNS), не отвечает общественным интересам. Так считает один из членов совета директоров этой организации Карл Ауэрбах, известный как один из наиболее непримиримых критиков деятельности ICANN. В своем интервью журналисту Ричарду Коману, опубликованном на сайте O'Reilly Network, Ауэрбах опять говорит о своем несогласии с высшим руководством ICANN и политикой этой организации в целом.

Одним из главных вопросов, обсуждавшихся в интервью стала безопасность интернета и системы доменных имен. В частности, Ауэрбах отметил тот факт, что DNS является единственной составной частью интернета, управление которой централизовано. Из-за этого, считает Ауэрбах, именно DNS представляет собой самую уязвимую часть интернета, отличным подтверждением чему служит недавняя массированная DoS-атака, выведшая из строя семь из тринадцати корневых DNS-серверов интернета.

Как известно, децентрализация была изначально положена в основу интернета, чтобы обеспечить работоспособность Сети в критических ситуациях, вплоть до ядерной войны. Это было необходимо, поскольку интернет разрабатывался во времена холодной войны агентством перспективных оборонных разработок США (DARPA) для нужд военного ведомства, но централизованность системы доменных имен сразу же делает Сеть уязвимой для атак, подобных случившейся в сентябре.

По словам Ауэрбаха, в структуре интернета действительно существуют элементы, требующие определенной централизации. Это, к примеру, распределение IP-адресов - оно должно некоторым образом соотноситься с физической топологией Сети. Однако мнение о том, что система доменных имен нуждается в аналогичном подходе является, по Ауэрбаху, в корне ошибочным. "С технической точки зрения, это совершенно неверно. На самом деле, DNS представляет собой надстройку над базовой функциональностью интернета. Поэтому ничто не мешает иметь много различных вариантов DNS. Единственной особенностью в этом случае было бы обеспечение совместимости между различными службами доменных имен," - говорит Ауэрбах. - "Основываясь на некой религиозной догме, мы решили, что над доменным пространством интернета должна находиться ICANN. Это ошибочный вывод, но многие принимают его за должное".

Комментируя октябрьскую DoS-атаку, Ауэрбах заявил, что ICANN не делает практически ничего для обеспечения безопасности Сети. Более года назад, после трагических событий 11 сентября, в ICANN был образован специальный комитет по выработке мер обеспечения безопасности DNS. Однако никаких результатов работы этого комитета до сих пор не представлено. А выдвинутые Ауэрбахом предложения по укреплению безопасности были попросту проигнорированы. По собственным словам Ауэрбаха, в комитете работают прекрасные технические эксперты, однако они совершенно не знакомы с методиками расследования киберпреступлений и способами ликвидации их последствий. Более того, оппозиционный директор считает, что в уязвимости DNS есть непосредственная вина ICANN: "ICANN просто-напросто провозгласила в качестве догмы, что у системы доменных имен должен быть центр... Следуя такой догме, ICANN сделала интернет уязвимым".

Далее в интервью Ауэрбах доказывает, что политика ICANN крайне далека от обеспечения общественных интересов. В значительно большей степени политика ICANN отвечает интересам корпораций. Именно корпорациям выгодно существование централизованной структуры, контролирующей систему доменных имен. На плечи этой организации можно возложить защиту торговых марок, а в случае возникновения конфликтов вокруг доменов компаниям значительно проще и, главное, дешевле убедить ICANN отобрать домен у его законного владельца, чем отстаивать свои права на доменное имя в суде.

По мнению Ауэрбаха, с помощью ICANN корпорации борются за контроль над инфраструктурой Сети. Другой стороной этой же борьбы является преследование распределенных файлобменных сетей со стороны звукозаписывающих и кинокомпаниий.

Утвердительно ответил Ауэрбах и на вопрос Комана о том, не оказывают ли влияния на политику ICANN какие-либо теневые фигуры. И хотя никаких прямых доказательств на этот счет у Ауэрбаха нет, некоторые факты явно свидетельствуют в пользу наличия сил, извне влияющих на политику организации. В частности, Ауэрбах обращает внимание на недавно выдвинутое предложение о создании трех новых "спонсированных" доменов, имена в которых смогут регистрировать лишь компании, принадлежащие к определенным отраслям. "У меня есть данные о том, что руководители ICANN направляли своих сотрудников для переговоров с представителями внешних структур, не получив на это согласие со стороны совета директоров. А затем Стюарт Линн (президент ICANN) вдруг предлагает создать три новых домена высшего уровня. Он ни разу не выносил этот вопрос на обсуждение. Он просто так решил, и все," - говорит Ауэрбах, задаваясь вопросом, почему создаются именно три зоны. - "А кто решил, что их нужно именно три? Стюарт Линн".

Негативно относится Ауэрбах и к реорганизации механизма формирования совета директоров. В самое ближайшее время из него будут исключены все члены, выбранные голосованием пользователей интернета, в том числе и сам Ауэрбах. Места представителей общественности займут лица, выдвинутые правительствами некоторых стран. Выборы директоров голосованием простых пользователей были отменены как неэффективные. Такое решение, по мнению Ауэрбаха еще раз свидетельствует о том, что ICANN отстаивает интересы не общества, а корпораций.

При этом ICANN практически неподконтрольна государству. Она зарегистрирована как общественная некоммерческая организация в штате Калифорния и освобождена от уплаты налогов. Ее не контролирует Конгресс США, министерство торговли также не может существенно влиять на ICANN, поскольку эта организация считается частной структурой и не публикует финансовой отчетности. Некоторая реальная власть над ICANN есть лишь у прокурора штата Калифорния. Он, в случае возникновения подозрений, может проверить многие аспекты деятельности ICANN. Интересно, что самому Ауэрбаху удалось выбить себе право изучить финансовые отчеты ICANN только через суд.

Ауэрбах также полагает, что отсутствие ICANN нисколько не помешало бы работе интернета. По его словам, ICANN - это одна из наименее эффективных организаций в мире. Она практически не занимается техническими вопросами управления DNS. Эта задача лежит на плечах администраторов доменных зон, прежде всего, компании VeriSign. Выделением же IP-адресов ведают четыре независимых друг от друга и от ICANN региональных регистратора адресов интернета (RIR). Поэтому, если ICANN вдруг исчезнет, адресное пространство Сети не пострадает, а с управлением корневыми серверами или хотя бы частью из них, вполне может справиться та же VeriSign.
(источник - http://www.compulenta.ru/, опубликовано 09.12.2002)
Новости компании Инфотекс


Ведущие российские компании-разработчики решений в области информационной безопасности объявляют об объединении усилий в целях достижения взаимной совместимости продуктов
Как известно, в начале 2002 года был принят закон "Об Электронной цифровой подписи", призванный обеспечить правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе и имеет юридическое значение в рамках отношений, указанных в сертификате ключа подписи.

Несмотря на принятый закон, процесс развития системы электронной подписи на федеральном уровне движется с большим трудом. Одним из камней преткновения является отсутствие единого стандарта на цифровые сертификаты.

До настоящего времени, сертификаты, выдаваемые удостоверяющими центрами, поддерживающими средства криптографической защиты информации (СКЗИ) различных российских производителей, оказывались несовместимы между собой, даже если они придерживались единого формата X.509 и реализовали один и тот же криптографический стандарт ЭЦП. Соответственно, сертификаты удостоверяющего центра, построенного на базе одного СКЗИ, не могли обслуживать криптосистемы, построенные на базе других СКЗИ, а подпись, сформированная одним СКЗИ, не могла быть проверена другим СКЗИ.

Таким образом, в силу вышеупомянутых причин, в России назрела насущная необходимость для принятия единого стандарта на формат представления параметров алгоритма ЭЦП.

Разрешению этих проблем и было посвящено подписание соглашения о сотрудничестве между ФГУП НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс".

В рамках соглашения, Стороны договорились об объединении усилий в целях достижения взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных средств криптографической защиты, реализующих алгоритмы ГОСТ Р 34.10-94,ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.

Также, Стороны пришли к соглашению разработать рекомендации по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов, криптографических сообщений с учетом использования алгоритмов и параметров, приведенных в ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.

До появления стандартов Стороны пришли к согласию использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленных в документе: "Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS", разработанного ООО "Крипто-Про".

От участников была направлена коллективная просьба к Федеральному агентству правительственной связи и информации при Президенте Российской Федерации учитывать положения, приведенные в настоящем Соглашении при согласовании технических заданий на разработку средств криптографической защиты и программных комплексов, использующих технологии цифровых сертификатов открытых ключей, лицензиатами ФАПСИ - участниками настоящего Соглашения.

Для выполнения вышеперечисленных задач и решения возникающих вопросов, создана рабочая группа из специалистов компаний-участников, руководителем которой был назначен первый заместитель генерального директора ФГУП НТЦ "Атлас".

Настоящее Соглашение открыто для подписания другими организациями-разработчиками, имеющими лицензии ФАПСИ на разработку средств криптографической защиты информации.


"E-COMMERCE, КОТОРОЙ МОЖНО ДОВЕРЯТЬ" - технологии и услуги обеспечения информационной безопасности

Аутсорсинговое подразделение компании Инфотекс - компания Infotecs Internet Trust (IIT) - сформировала специальные предложения по обеспечению безопасности различных интернет-систем: банк-клиент, e-commerce, информационных терминалов, трейдинговых систем и т. д...

Удостоверяющий Центр IIT
Основой защищенного электронного документооборота является инфраструктура PKI - инфраструктура открытых ключей. Генерация ключевой информации, как для шифрования, так и для подписания документов производится на хостах, таким образом можно быть уверенным в ее индивидуальности и секретности.
Для поддержания инфраструктуры PKI в системах e-commerce необходим Удостоверяющий Центр, который полностью соответствует Закону "Об ЭЦП":

  • Мощная, проверенная и сертифицированная криптотехнология;
  • Независимый статус Удостоверяющего Центра.
  • Набор необходимых лицензий Гостехкомиссии России и ФАПСИ.

Услуга ViPNet [Trust] Крипто API
Легкий пакет услуг, позволяющий обеспечить конфиденциальность и подтвердить авторство сообщений. (От 1$/мес.)

  • Предоставление открытого криптографического интерфейса*;
  • Поддержание ключевой инфраструктуры, в том числе и инфраструктуры открытых ключей (PKI), удостоверение и регистрация сертификатов ЭЦП.
    *Требуется внесение изменений в программный код.

Услуга ViPNet [Trust] Business Mail
Пакет услуг, позволяющий обеспечить конфиденциальность и подтвердить авторство сообщений, имеет встроенный транспорт. (От 2$/мес.)

  • Использование автопроцессинга* защищенного почтового клиента;
  • Поддержание ключевой инфраструктуры, в том числе и инфраструктуры открытых ключей (PKI), удостоверение и регистрация сертификатов ЭЦП.
    *При сохранении подготовленного к отправке документа, происходит его подписание, зашифрование, пересылка по сети, отсылка квитанций о получении. При получении подписанного и зашифрованного сообщения, происходит расшифрование, проверка подлинности и сохранение для последующей обработки.

Услуга ViPNet [Trust] VPN
Пакет услуг для организации защищенной связи, прозрачной для всех прикладных программ*.(От 1, 75$/мес.)
Кроме криптографической защиты обеспечивается персональное сетевое экранирование, что гарантирует уникальное повышение рискозащищенности.

  • Сетевое экранирование;
  • Прозрачная криптографическая защита данных любого типа;
  • Поддержание ключевой инфраструктуры, в том числе и инфраструктуры открытых ключей (PKI), удостоверение и регистрация сертификатов ЭЦП.
    *Не требует изменения программного кода, может сочетаться с другими услугами/технологиями


Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.
 
 
С уважением, ведущий рассылки Олег Карпинский.

Решения ViPNet - надежные средства для построения VPN

http://subscribe.ru/
E-mail: ask@subscribe.ru 		Отписаться
Убрать рекламу
В избранное