Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

В сегодняшнем выпуске рассылки предлагаем Вам обзор - "Анализ защищенности компьютерных сетей организаций" (Россия и ближнее зарубежье, январь 2003 года), подготовленный компанией Positive Technologies.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Напоминмем, что заканчивается регистрация на информационный семинар "Анализ рисков информационных систем компаний", проводимого компаниями Инфотекс Интернет Траст и Domina Security 4 марта 2003 года.

Семинар проводит автор курса, эксперт по информационной безопасности, автор книги "Атака на Internet", к.т.н. Илья Медведовский.
Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Новости компании Инфотекс

• Компания Инфотекс приглашает на работу: Преподавателя для чтения учебных курсов, IT - менеджера, Сервис-специалиста в отдел сопровождения и клиентских проектов
• Компании Инфотекс Интернет Траст и Domina Security 4 марта 2003 г. в Москве проводят информационный семинар: "Анализ рисков информационных систем компании"

Задача данного анализа
В ходе исследования ставилась задача оценить степень защищенности компьютерных сетей организаций от возможных внешних сетевых атак. Другими словами, оценивалась "хакероустойчивость" корпоративных сетей, имеющих выход в Интернет. Проблемы внутренней информационной безопасности компаний в настоящем обзоре не рассматриваются. Вся основная информация представлена на диаграммах, поэтому в тексте мы приводим только минимальные комментарии.

Общая характеристика анализа
Данное исследование проводилось компанией Positive Technologies в рамках акции по бесплатному аудиту безопасности компьютерных сетей организаций в декабре 2002г. - январе 2003г. В общей сложности было проверено 367 IP-адресов в 197 организациях. Все желающие добровольно регистрировались на сайте компании. Проверка проводилась только после получения официального запроса от проверяемой организации с подтверждением владения заявленными к проверке сетевыми адресами. Защищенность анализировалась с использованием технологии XSpider 7.0 - оригинальной разработки компании Positive Technologies. Оценки выставлялись по четырехбальной шкале, расшифровка которой приведена в Таблице 1.

Таблица 1. Уровни защищенности сети от внешних атак

География участников
Подавляющее большинство (более 80%) компаний являются российскими. При этом доля регионов (вычитаем Москву и Петербург) достаточно высока - более половины всех отечественных организаций. Из стран ближнего зарубежья отдельно выделена Украина как наиболее представительный участник анализа. Среди прочих стран ближнего зарубежья в анализе учтены Азербайджан, Белоруссия, Грузия, Казахстан, Латвия, Литва, Узбекистан.

Общий анализ защищенности
Диаграмма 2 показывает распределение проанализированных IP-адресов по степени защенности в соответствии со шкалой оценок, приведенной в Таблице 1. Видно, что более половины сетевых адресов защищены надежно. Интересно, что доли менее защищенных сетей разной степени уязвимости практически равны. Данное распределение на первый взгляд дает более оптимистичную картину, чем можно было бы ожидать. Однако имется два "но".

Во-первых, имеет смысл рассмотреть статистику защищенности, рассчитанную для на уязвимости не отдельных адресов, а сети в целом. Поскольку для многих проанализированных сетей тестировалось несколько адресов, для подобной статистики есть вполне достаточно данных. Результаты приведены на Диаграмме 3 и они несколько хуже предыдущих. Причина очевидна: из-за неравноценной защищенности отдельных адресов, во многих сетях имеется "слабое звено", которое повышает степень уязвимости всей корпоративной сети. Важно, что именно Диаграмма 2 более адекватно отражает защищенность сетей организаций. При этом, уже менее половины сетей оказываются защищенными надежно.

Во-вторых, следует учитывать то, как отбирались участники данного анализа. Они регистрировались добровольно на сайте компании, занимающейся сетевой безопасностью. Очевидно, что это само по себе обеспечило существенный отбор аудитории в пользу организаций, уделяющих какое-то внимание вопросам собственной информационной безопасности. Следовательно, для совершенно произвольной выборки корпоративных сетей можно ожидать еще более низкого процента надежно защищенных сетей.

Анализ по регионам
В данном разделе рассматривается та же самая статистика, что и в предыдущем, но разбитая на географические регионы. Стоит обратить внимание на следующие результаты.

Во-первых, Москва показала достаточно низкие результаты - худшие, если рассматривать сетевые адреса. Если говорить о защищенности сетей, что более осмысленно, то и тут московский регион смог отыграть только одно место, уступив России в целом и Санкт-Петербургу.

Данные по ближнему зарубежью отличаются очень низким уровнем защищенности сетей (при рекордной степени защищенности массива проверенных адресов), что отражает факт "размазанности" сильно уязвимых IP по различным сетям. Валидность этих данных также не слишком высока, поскольку выборка по данной категории была невелика (менее 20 компаний).

Во-вторых, на общем фоне более низкой защищенности сетей по сравнению с общей выборкой сетевых адресов (что логично, как указывалось выше), Украина продемонстрировала аномальный результат - и это на фоне очень хорошей положительной статистики. Это объясняется двумя обстоятельствами: небольшой выборкой участников (около 20) и тем, что уязвимые IP обнаруживались в небольшом количестве сетей, но в значительном количестве.

Достоверность данных
Делая выводы из материалов настоящего исследования, следует принимать в расчет следующие обстоятельства и ограничения.

1. В целом исследование является достаточно надежным и представительным - в течение двух месяцев произведен детальный анализ почти 400 сетевых адресов в 170 организациях.
2. Данные по таким регионам как Россия и Москва представляются весьма достоверными ввиду значительного размера выборки. Результаты по остальным регионам могут иметь заметную погрешность.
3. Выборка организаций, принимавших участие в анализе, не была совершенно случайной. Проверялись сети только тех компаний, которые самостоятельно изъявили желание проверить свою информационную безопасность.
4. С технической и организационной точки зрения анализ очень надежен: проверка производилась тщательно и профессионально, принадлежность адресов тем или иным компаниям (и, следовательно, регионам) подтверждалась документально.

Резюме
В результате анализа удалось с высокой достоверностью определить оценку сверху уровня защищенности корпоративных сетей для России в целом и для московского региона отдельно. Доля надежно защищенных сетей в России менее половины, по Москве этот показатель даже несколько ниже. Около четверти корпоративных сетей в Москве (около 20% для регионов России) имеют критически низкий уровень защиты, то есть находятся под постоянной реальной угрозой внешних сетевых атак с драматическими последствиями.

Давая "философскую" оценку данным результатам, ометим, что, на наш взгляд, выявленная ситуация не является катастрофически плохой и даже дает некоторый повод для оптимизма. Но оправдан он будет только в том случае, если внутренняя политика организаций продолжит то движение в сторону большего внимания к собственной информационной безопасности, которое начинает намечаться в последнее время.

По материалам компании Positive Technologies

В настоящее время для всего семейства IEEE 802.11 стандартом криптозащиты является протокол WEP (Wired Equivalent Privacy). Однако, из-за некоторых присущих ему недостатков он легко поддается взлому, при этом увеличение длины ключа не дает существенного результата.

На смену WEP должен прийти стандарт 802.11i, представляющий из себя комплексную систему обеспечения безопасности. Она включает в себя системы аутенфикации, создания новых ключей для каждой сессии, управления ключами (на базе технологии Remote Access Dial-In User Service, RADIUS), проверки подлинности пакетов и т.д.

Как прогнозирует инженер Intel по сетевой архитектуре Джесси Уокер, входящий в группу по разработке 802.11i, первые сертифицированные для этого стандарта продукты WLAN-продукты появятся не ранее чем через год. До этого момента пользователи должны получить WPA (Wireless Protected Access) - составную часть 802.11i, уже одобренную промышленной группой WiFi Alliance. Начиная с августа этого года, WPA будет включен во все сертифицированные WiFi-продукты.

Представитель компании Cisco добавил, что в дополнение к стандартным средствам в своих продуктах компания продолжит применять проприетарные системы защиты, например, такие как Cisco Key Integrity Protocol (CKIP).
(источник - http://www.compulenta.ru/, опубликовано 27.02.2003)

Олег Зезов работал в Алма-Ате в крупной инвестиционной компании, которая некоторое время была клиентом Bloomberg. Проведенного там времени Зезову хватило, чтобы проникнуть в систему американской корпорации и добраться до скрытых файлов.

Весной 1999 года он отправил Майклу Блумбергу несколько писем, которые доказывали, что у хакера есть доступ ко многим корпоративным документам, в частности, к распечаткам транзакции со счетов самого Блумберга. Зезов просил у Блумберга $200 тысяч за рассказ о том, как можно пробраться в корпоративную сеть. Блумберг сделал вид, что согласился, перевел часть денег на счет в Лондоне, пригласил в британскую столицу самого вымогателя и рассказал обо всем полиции.

10 августа 2000 года Зезов, сопровождаемый казахским адвокатом Игорем Яримакой (которого теперь суд считает его соучастником), встретился с Блумбергом и его людьми в лондонском отеле "Хилтон". Среди сопровождавших нынешнего мэра Нью-Йорка были и переодетые полицейские, которые и арестовали Зезова и Яримаку. Встреча гостей из Алма-Аты с Блумбергом снималась скрытой камерой и фигурировала на суде как главная улика. Впоследствии обвиняемые были экстрадированы из Великобритании в США.

Судебные слушания по делу Зезова начались в мае 2002 года. В ходе слушаний Зезов пытался убедить суд, что никаких корыстных побуждений у него не было, а в сеть компании Bloomberg он проник случайно, намереваясь потом сообщить Блумбергу об ошибке в его системе корпоративной защиты. Эти доводы суд не убедили, Зезов был признан виновным, а приговор ему будет вынесен 23 мая.
(источник - http://www.cnews.ru/, опубликовано 27.02.2003)

Как сообщил РИА "Новости" гособвинитель Евгений Максимочкин, впервые в России гражданин осужден по этой статье.

Следствием установлено, что программа, созданная Эрзяйкиным, позволяла изменять и обнулять данные по выручке, которые хранились в фискальной памяти контрольно-кассовых машин, изменять дату, количество покупок.

Распространение программы предотвратили сотрудники отдела по расследованию преступлений в сфере высоких технологий МВД Мордовии. Они купили у Эрзяйкина процессор за 300 долларов и после того, как он продемонстрировал программу в работе, его задержали.

Адвокат подсудимого Сергей Прончатов построил защиту на утверждении, что термин "ЭВМ" не применим к кассовому аппарату. Однако суд признал доводы защитника несостоятельными.
(источник - РИА "Новости", опубликовано 27.02.2003)

Именно реализация SSL при общении компьютера с почтовым сервером и содержит уязвимость. Если почтовый клиент часто (например, каждые пять минут), обращается к серверу за новыми письмами, он отправляет туда одни и те же данные: зашифрованное имя пользователя, пароль и т.д. Хакеру достаточно один раз перехватить эти данные в зашифрованном виде, а затем начать направлять предполагаемые варианты пароля на сервер. Скорее всего, угадать пароль с первого раза не выйдет, и сервер выдаст сообщение об ошибке, также зашифрованное с помощью SSL. Сравнивая сообщения об ошибках, можно достаточно быстро восстановить пароль.

Способ взлома SSL был открыт профессором Швейцарского федерального технологического института в Лозанне (Swiss Federal Institute of Technology in Lausanne) Сержем Воденэ. Практическую реализацию взлома продемонстрировал в своей курсовой работе студент Мартен Вюаню. Он использовал программу Outlook Express, которая обращалась к почтовому серверу по протоколу IMAP каждые пять минут. Более подробную информацию о взломе SSL можно найти здесь.

Кроме взлома почтовых ящиков, описанный метод ни на что не годится. Перехватывать обмен данными между почтовым сервером и клиентом достаточно непросто, так что вряд ли эта уязвимость в SSL будет эксплуатироваться широко. Тем не менее, в некоторых случаях полезно помнить о существовании потенциальной опасности взлома.
(источник - http://www.compulenta.ru/, опубликовано 21.02.2003)

Резюме просьба направлять по адресу: zadonsky@infotecs.ru

IT - менеджер
Описание должности:
- Обслуживание и развитие локальной и виртуальной сетей, включая, но не ограничиваясь - конфигурирование, администрирование, настройка серверов, маршрутизаторов, firewalls и т.д.
- Обслуживание и настройка программного обеспечения и рабочих станций персонала, организация ремонта, замены, up grade рабочих станций, закупка и выдача в работу персоналу
- Обучение персонала эффективному использованию офисных аппликаций
- Организация сетевой поддержки работ web-мастера
- Подготовка руководству отдела технической поддержки предложений по развитию сетевых коммуникаций, включая, но не ограничиваясь - бюджет развития, обоснование сетевых решений и т.д.
- Подготовка предложений руководству по выбору базовых офисных приложений наиболее отвечающих требованиям бизнес-процесса компании.

Требования к кандидату:
- Наличие знаний в сфере DNS, DHCP, SMTP, POP3 в объеме достаточном для эффективного управления сетью
- Наличие знаний об операционных системах Win95/98/NT, Unix/Linux и офисных приложений Microsoft
- Опыт работы с оборудованием CISCO
- Знание squid-proxy
- Опыт работы не менее двух лет в качестве Администратора сети
- Образование высшее

Желательно - водительские права и опыт вождения не менее 3-х лет
Обязательно - навык делового общения с пользователями сети

Резюме просьба направлять по адресу: elena@infotecs.ru

Сервис-специалист в отдел сопровождения и клиентских проектов ОАО "Инфотекс"
Описание должности:
- Работа на "горячей" телефонной линии
- Установка, наладка, конфигурирование программных решений компании "Инфотекс"
- Сервисное сопровождение Клиентов: по телефону, электронной почте, путем выезда к Клиенту (возможны выезды за пределы Москвы)
- Проведение учебных занятий в учебном классе компании или на территории заказчика

Требования к кандидату:
- Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
- Отличное знание операционных систем Windows 95/98, Windows NT/2000; инсталляция и настройка
- Знание Linux - желательно
- Умение работать с людьми (ведение переговоров, проведение учебных занятий и т.д.)
- Знание технического английского (умение читать и переводить английскую документацию на ПО)
- Отсутствие проблем со службой в рядах вооруженных сил РФ
- Образование высшее

Резюме просьба направлять по адресу: zadonsky@infotecs.ru

Компании Инфотекс Интернет Траст и Domina Security 4 марта 2003 г. в Москве проводят информационный семинар: "Анализ рисков информационных систем компании"

Предлагаемый семинар ориентирован на:
Менеджеров высшего звена управления компанией (ТОР-менеджеров), которые хотят получить ответы на следующие вопросы: Что такое аудит информационной безопасности? В чем его суть? Зачем и кому он нужен? Насколько он актуален для компании и ее бизнес – деятельности? Какова его стоимость и последующие затраты? Каковы последствия для компании? Какую роль играют инструментальные CASE-средства анализа и управления рисками? Кто и как его осуществляет? Какие существуют ограничения законодательного характера? Какие отечественные и западные методики и технологии аудита предпочтительно использовать? Как эффективно управлять информационной безопасностью компании в интересах бизнеса? Как подготовить свою компанию к аудиту и аккредитации в соответствии с требованиями международных стандартов ISO 15408, ISO 17799(BS 7799), BSI и CoBit.

Руководителей служб автоматизации (CIO) и служб информационной безопасности, которые желают получить объективную и независимую оценку текущего состояния информационной безопасности компании, оценить потенциальный экономический ущерб от возможных посягательств разного рода злоумышленников, выработать требования к корпоративной системе защиты информации, проверить адекватность и эффективность Политики безопасности компании, рассчитать необходимые затраты на совершенствование корпоративной системы защиты информации, и предпринять все необходимые меры организационно-управленческого и технического характера для повышения (адекватного обеспечения) уровня информационной безопасности компании

Ведущих специалистов в области безопасности компьютерных систем, IT-менеджеров, которые желают получить детальное представление об аудите информационной безопасности, достаточное для того, чтобы грамотно разбираться в этих вопросах, а возможно и руководить работами, связанными с аудитом информационной безопасности своей компании.

Автор семинара - кандидат технических наук И. Д. Медведовский, исполнительный директор компании Domina Security, автор серии книг "Атака на Internet", эксперт по информационной безопасности.
Продолжительность семинара: 7 академических часов.

Стоимость семинара 145 у.е.
Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Получить более подробную информацию о семинаре и зарегистрироваться на семинар можно здесь.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.