Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Последние годы стеганография являлась причиной многих дискуссий, в частности предполагалось, что террористы могли использовать ее в терактах 11 сентября. Но так как доказательств этому не нашлось, интерес к стеганографии как к эффективному средству сокрытия данных продолжает расти.

В сегодняшнем выпуске рассылки предлагаем Вам статью "Секреты стеганографии", подготовленную порталом SecurityLab.ru, которая является кратким введением в стеганографию и отвечает на вопросы: что такое стеганография, как ее можно использовать, и ее значение для безопасности информации.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Напоминаем, что продолжается регистрация на информационный семинар "Теория и практика обеспечения безопасности информационных систем", проводимого компаниями Инфотекс Интернет Траст и Domina Security 21-23 мая 2003 г. в Москве. Данный трехдневный курс предлагается Вашему вниманию впервые в России.

Семинар проводят специалисты компаний Domina Security и Инфотекс Интернет Траст, эксперты по информационной безопасности.
Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Новости компании Инфотекс

• Компании Infotecs Internet Trust (IIT) и Domina Security 21-23 мая 2003 г. в Москве проводят трехдневный информационный семинар: "Теория и практика обеспечения безопасности информационных систем"

Что такое стеганография?
В процессе исследования стеганографии в рамках компьютерной безопасности, становится очевидным, что она, по существу, не является чем-то новым, так как возникла еще во времена древнего Рима. К примеру, в древнем Риме и Греции тексты обычно писались на воске, которым заливали каменные таблички. Если отправитель информации хотел скрыть сообщение (например, в целях военной тайны) он использовал стеганографию: воск соскребался, и сообщение либо вставлялось, либо писалось прямо на табличке, затем воск снова заливался поверх послания. Таким образом, скрывалось не только значение сообщения, но и вообще его существование.

Dictionary.com пишет, что стеганография (также известная как "steg" или "stego") - это "искусство написания цифр или букв, которые не понятны никому, кроме человека, у которого есть ключ - cryptography". В компьютерный мир стеганография вошла как метод сокрытия определенного сообщения в другом(которое есть заведомо большим), таким образом, что невозможно увидеть присутствие или смысл скрытого сообщения. В современном мире - это цифровая стратегия сокрытия файла в мультимедийном формате, например: картинка, звуковой файл(wav, mp3) или даже видеофайл.

Для чего используется стеганография?
Как и большинство утилит по безопасности, стеганография может использоваться для разных целей. Законные цели включают водяные знаки на изображениях в целях защиты прав собственности. Цифровые подписи (также известны как fingerprinting(отпечатки), указывают в основном на объекты, защищенные законом об авторском праве) являются обычными для стеганографии, так как содержатся в файлах, являясь частью их, и потому сложно обнаружимы обыкновенным человеком. Стеганография может также использоваться для замены одностороннего значения хэша (когда берется длина вводимой переменной и создается статическая длина строки на выходе, для того, чтобы подтвердить, что водимая переменная не была изменена). Также стеганография может быть использована для добавления заметок на онлайновые изображения (как стикеры для бумаг). И, наконец, стеганография может использоваться для сохранения ценной информации, в целях защиты данных от возможного саботажа, кражи или несанкционированного просмотра.

К сожалению, стеганография может быть также использована для незаконных целей. Например, при попытке украсть информацию, существует возможность скрыть ее в другом файле, или файлах и послать ее в виде невинного письма или файла. Более того, люди, чье хобби - коллекционирование порнографии, и что еще хуже, на своем винчестере, могут использовать стеганографию для сокрытия доказательств. И как говорилось ранее, она может использоваться в целях террористов как средство скрытого общения. Конечно же применение стеганографии может быть как законным так и незаконным.

Инструменты стеганографии
Существует масса инструментов пригодных для стеганографии. Важное различие, которое должно быть сегодня проведено среди доступных инструментов стеганографии - это те, которые стеганографируют, и те, что стеганализируют(метод обнаружения стеганографии и уничтожения первоначального сообщения). Стеганализ основывается на этом аспекте, поскольку расшифровка сообщения без ключа является проблематичной.

Подробное рассмотрение инструментов стеганографии не входит в рамки данной статьи. Хотя существует очень много источников для получения инструментов стеганографии в Интернете.

Для знакомства со средствами стеганографии рекомендуем сайт Нейла Джонсона (Neil Johnson') Steganalysis site. Так же можно посетить сайт Ниелс Провос (Niels Provos), хотя он в данный момент переезжает, как что следите за его развитием.

Большое количество утилит работают под разными ОС - Windows, DOS, Linux, Mac, Unix: вам будет из чего выбирать.

Принципы работы стеганографии
Чтобы показать, насколько легка стегонография, мы начнем с загрузки более чем популярной бесплатной утилиты - F5, затем испробуем утилиту под названием SecurEngine, которая прячет сообщение в большом текстовом файле и напоследок познакомимся с программкой, которая скрывает файлы в MP3 формате - так называемая - MP3Stego. Также мы протестируем коммерческий продукт Steganos Suite.

F5 была разработана Андреасом Вестфилдом (Andreas Westfield) и работает как DOS-клиент. Также была разработана "парочка" GUI: первая утилита - "Frontend", созданная Кристианом Воном (Christian Wohne), и вторая - "Stegano", чьим автором является Томас Бьель (Thomas Biel). Мы испытывали F5, beta version 12. Оказалось, очень легко закодировать сообщение в формате JPEG, даже когда релиз немецкий. Пользователь очень легко может это сделать, следуя инструкциям мастера, указывая путь к картинке(мы использовали простой текстовый файл, созданный в блокноте), вводя ключевое слово. Вложенный файл был очень маленьким(состоял всего из одной строки "This is a test. This is only a test."), так что не слишком много пикселей пришлось заменить, что бы спрятать сообщение. А что будет, если мы попытаемся спрятать больший документ? F5 работает только с текстовыми файлами. При попытке спрятать более объемный "вордовский" файл, то хоть программа и восприняла его, но восстановить не сумела. Тем не менее, большие файлы похоже тоже можно, как и маленькие, вкладывать в изображения.

SecurEngine не выглядит, как профессиональная утилита, которая способна спрятать текст в изображении. Когда мы спрятали свое маленькое сообщение в большем текстовом файле, то обнаружили лишний символ ("я")в конце зашифрованного файла. Такого символа не было в оригинале. SecurEngine позволяет пользователям лишь спрятать изображение и (или) зашифровать. Пробное предложение было закодировано и декодировано без всяких проблем. SecurEngine также включает в себя инструменты для более надежного уничтожения файлов.

Утилита MP3Stego, которая позволяет прятать данные в файлах формата MP3, сработала очень хорошо. Процесс шифрования происходит таким образом: вы шифруете файл(текстовый, например), как .WAV файл, который затем преобразовывается в формат MP3. Единственная проблемка, которая возникла - чтобы зашифровать данные большого размера, необходимо иметь пропорциональный к количеству данных файл. Например, маленькое сообщение, которое мы использовали в предыдущих опытах оказалось слишком большим для WAV-файла(размер WAV-файла составлял 121КВ, а текстового файла - 36 байт). Для завершения опыта пришлось сократить текстовый файл до 5 байт - только слово "test". Мы нашли соответствующий файл размером 627 КВ. Конечный MP3 файл занял 57КВ.

Steganos Suite - это коммерческий пакет, объединивший множество утилит. В дополнение к изящной деструктивной функции трассировки (для Интернета) и утилиты для уничтожения файлов, программа так же обладает так называемым файловым менеджером, что позволяет пользователям шифровать и скрывать файлы на своем винчестере. Пользователь выделяет папку или файл, которые следует сокрыть и файл - "носильщик" информации - обязательно графический или музыкальный. Программа также позволяет самим пользователям создавать файлы при помощи микрофона или сканера. Если у вас нет подходящего файла, встроенный файловый менеджер умеет искать нужный файл на вашем винчестере. Эта утилита, в отличие от тех, которые мы тестировали, способна работать с разными файловыми форматами(dll, dib). Так что, если вам необходим качественный продукт для шифрования информации, то вам придется выложить деньги за коммерческий пакет

Стеганография и безопасность
Как ранее упоминалось, стеганография является эффективным методом сокрытия данных и защиты их от несанкционированного или не желаемого просмотра. Но все же это лишь один из способов защиты информации. Возможно, лучше было бы использовать стеганографию совместно с другими методами сокрытия данных, что сделало бы возможным многоуровневую безопасность. Далее приведены некоторые из альтернативных методов сокрытия данных.

• Шифрование - процесс преобразования информации посредством ряда математический операций. Результатом шифрования является зашифрованный текст. Зашифрованные данные могут быть прочитаны лишь при условии наличия необходимого ключа. Шифрование не прячет данные, но усложняет их чтения.
• Скрытые директории (Windows) - Windows предлагает возможность скрытия файлов. Использовать эту возможность очень легко: просто в свойствах папки или файла проставить атрибут "скрытый" и надеяться, что никто не отобразит все типы файлов в эксплорере.
• Скрытые директории (Unix) - на платформах Unix в существующих директория, содержащих множество файлов, как, на пример, /dev или создав свою директорию, в названии которой использовав три точки (обычно используют оду или две).
• Скрытые каналы - Некоторые утилиты используются для передачи ценных данных, которые внешне выглядят как обыкновенный сетевой трафик. Одна из таких утилит - Loki - способна скрывать данные в ICMP трафике.

Защита от стеганографии
К сожалению, все методы, о которых ми говорили, могут так же использоваться с целью незаконных, несанкционированных или не желательных действий. Возможность определения или предупреждения утечки информации не является тривиальной задачей. Если кто-то решил для сокрытия данных использовать стеганографию, то единственным способом обнаружения является активное наблюдения за специальными файлами и удача. Иногда активные меры безопасности могут дать ответ на поставленные вопрос - жесткие политики на установку несанкционированного программного обеспечения.

Использование уже имеющихся утилит для контроля над сетевым трафиком так же может оказаться полезным. Системы обнаружения вторжения могут помочь администратору в определении нормального трафика и, таким образом, увидеть аномалии, например, при передаче больших картинок по сети. Если администратор подготовлен к такому виду аномальной активности, это может помочь в дальнейшем расследовании. Находящиеся на каждой машине системы обнаружения вторжения так же могут помочь в обнаружении аномального скопления изображений и(или) видеофайлов.

В исследовании, проведенным Стефаном Хетцлем Stefan Hetzel на его сайте, идет речь о двух методах стеганографии, которые, в свою очередь, являются средствами обнаружения ее. Это - визуальная и статистическая атака. "Идея статистической атаки - сравнение частоты распределения цветов для возможного носителя скрытой информации и теоретически ожидаемая частота распределения цветов для файла-носителя скрытой информации". Это возможно не самый быстрый метод защиты, но если возникаю подозрения на счет такого рода деятельности, то этот метод может быть самым эффективным. Специально для JPEG-файлов существует утилита Stegdetect, которая способна определять следы стеганографии в этих файлах. Родственная утилита к Stegdetect, с называнием Stegbreak способна расшифровывать и находить возможную информацию в подозрительном файле.

Заключение
Стеганография - один из самых увлекательных и эффективных методов сокрытия данных, которые использовались за всю историю человечества. Методы, способны разоблачить хитрые тактики злоумышленников несовершенны, но радует то, что такие методы существуют. Есть очень много причин, по которым следует использовать стеганографию (подписи, пароли, ключи), но главная - это легкость в обращении и сложность при обнаружении. Чем больше вы знаете о методах стеганографии, тем больше у вас шансов не попасть впросак.

По материалам SecurityFocus (Опубликовано на SecurityLab.ru)

"Это secret-splitting для широких масс", - пояснил главный специалист RSA Security Берт Калиски. В июне компания выпустит инструментарий разработчика. Система рассчитана на совместное применение с системами на основе смарт-карт, так что пароли пользователей, а также их личные секреты, доверенные компании для поиска этих паролей, остаются недоступными, даже если хакер заберется в сервер. "Обычно все данные хранятся в одном месте, поэтому, если происходит утечка, рушится вся система, - поясняет Калиски. - Метод secret-splitting исключает единое компрометирующее звено".

Nightingale - только первый из семейства продуктов RSA, основанных на технологии secret-splitting. В оригинальной работе Шамира предполагается разбиение секрета на несколько частей, так что секрет может реконструироваться, скажем, по трем частям из пяти. Nightingale упрощает процесс до двух. "Пока Nightingale хорошо подходит для защиты коротких секретов, - комментирует Калиски. - Его можно использовать для хранения сильных секретов, таких как банковские подписи. Но сейчас есть потребность в эффективном разбиении слабых секретов".

Nightingale незаметен для пользователей, но компании могут захотеть выпятить эту технологию, чтобы показать, что они надежно хранят персональную информацию своих клиентов. Возможно, будет разработан бренд Nightingale для идентификации сайтов, использующих разбиение данных.

"Предприятия электронной коммерции хотят быть уверены, что их информация о заказах не попадет не в те руки", - говорит Калиски. Он предполагает, что законодательство и риск судебных преследований вынудят компании повышать степень защиты.
(источник - http://www.zdnet.com/, опубликовано 18.04.2003)

По мнению Диффи, внедрение средств аппаратной защиты информации неминуемо, однако подход к этой проблеме Microsoft представляется совершенно неприемлемым. Подобного мнения придерживается и основатель компании RSA Security, профессор Массачусетского технологического института Рональд Райвест. Он призвал к широкому обсуждению в обществе инициатив Microsoft в области компьютерной безопасности.

В настоящее время о технологии Palladium, представленной около года назад и недавно переименованной в NGSCB (next-generation secure computing base) известно немного. С техническими аспектами NGSCB сейчас знакомы лишь около 30 фирм-партнеров Microsoft, которые связаны договорами о неразглашении информации. Несколько развеять завесу тайны вокруг NGSCB софтверный гигант планирует в мае на конференции WinHEC. Однако когда эта технология будет воплощена в "железе" и в продуктах самой Microsoft, пока не ясно.

По словам Диффи, главным недостатком NGSCB является то, что пользователь компьютера не будет иметь доступа к криптографическим ключам, а значит, не будет располагать достаточным контролем над собственным ПК. По сути, часть компьютера будет принадлежать не пользователю, а какой-то другой стороне, которая будет определять, что с компьютером делать можно, а что - нельзя. Такой подход может оказаться губительным, полагает Диффи.

Пока, впрочем, работы над NGSCB продолжаются, и конечный вариант этой системы может заметно отличаться от ранних прототипов. В Microosft планируют организовать независимую экспертизу NGSCB и добиться максимальной эффективности защиты информации и надежности аутентификации пользователей. Появляются и первые продукты с поддержкой аппаратной защиты данных. В частности, подобную BIOS в начале нынешнего года выпустила компания American Megatrends Inc. (AMI).
(источник - http://www.compulenta.ru/, опубликовано 16.04.2003)

Услуга будет предоставляться в основном через интернет-провайдеров и только частным лицам. Стоимость обслуживания составит 600-700 йен в месяц ($5-6). Партнеры планируют набрать к концу 2004 года 400 тысяч клиентов и получать годовой доход в размере миллиард йен (более $80 млн). Компания намерена запатентовать эту бизнес-модель. В будущем разработчики планируют предоставлять аналогичный сервис и пользователям устройств, подключенных к интернету через домашние ПК.
(источник - http://www.cnews.ru/, опубликовано 15.04.2003)

Наиболее распространенным видом мошенничества является продажа несуществующих товаров на интернет-аукционах - это 46% всех известных случаев мошенничества в Сети. Еще 31% жалоб связаны с похожим явлением - отказом от поставок оплаченных товаров или, наоборот, неоплатой заказанных товаров или услуг. Мошенничества с дебетовыми и кредитными картами составляют 12% всех инцидентов. Особо стоит отметить так называемых "нигерийских мошенников", которые предлагают доверчивым пользователям Сети поучаствовать в отмывании денег. Число жалоб на них возросло с 2600 в 2001 г. до 16000 - в 2002.

Кроме, собственно, жалоб на мошенников, в IFCC получили 36920 сообщений о хакерских атаках, рассылке спама, размещении в Сети детской порнографии и других киберпреступлениях. Об этих случаях IFCC извещали специализированные ведомства. Прогноз IFCC неутешителен: с развитием онлайновой коммерции число случаев мошенничества будет только расти, поэтому пользователям интернета нужно быть настороже и сообщать о всех подозрительных случаях в IFCC и другие компетентные органы. Полную версию отчета IFCC можно увидеть здесь.
(источник - http://www.compulenta.ru/, опубликовано 10.04.2003)

ISS наблюдает за происшествиями посредством датчиков, установленных примерно у 400 клиентов компании во всем мире. С 1 января по 31 марта были зафиксированы атаки, которые многие считают первым флэш-червем, - он атакует автоматически и распространяется так быстро, что датчики не успевают отреагировать. Этот червь, получивший название SQL Slammer, заразил 200 тыс. компьютеров с Microsoft SQL Server, на которых не была установлена выпущенная полгода назад поправка. 90% всех уязвимых компьютеров эпидемия охватила за первые же десять минут.

Из отчета следует, что на выходные приходится всего 26% всех происшествий, а день максимальной активности злоумышленников - пятница, на которую в среднем приходится 2,3 млн происшествий, относящихся к "аномальной деятельности". Это не атаки, а главным образом (почти в трех четвертях случаев) просто подозрительная деятельность. Еще 11% происшествий ISS классифицирует как попытки несанкционированного доступа. Slammer начал распространяться в пятницу вечером (по времени Западного побережья США).

ISS обнаружила также, что онлайновые вандалы прилагают больше усилий к использованию существующих лазеек, чем к поиску новых. В первом квартале, по данным ISS, было выявлено 606 уязвимостей и зафиксировано 752 новые программы, действующие через известные лазейки. Однако хакеры ищут все новые возможности атаковать системы. В марте военные обнаружили, что для проникновения в их сеть используется неизвестная ранее брешь в защите операционной системы Microsoft Windows 2000. Через пять дней Microsoft выпустила поправку, но инцидент стал напоминанием о том, что существует масса уязвимых мест, о которых компании не знают.
(источник - http://www.News.com, опубликовано 08.04.2003)

Основная задача учебного курса - сформировать у слушателей системный подход к решению задач организации и обеспечения защиты информации, циркулирующей в корпоративной сети, повысить их квалификацию в данной предметной области, а так же дать основы знаний по применению на практике программно-технических средств защиты информации.

Курс направлен прежде всего на повышение квалификации в области информационной безопасности ИT-менеджеров высшего и среднего звена, руководителей проектов фирм работающих в сфере инфотехнологий, ведущих ИТ-специалистов и специалистов по информационной безопасности, а также современных руководящих работников.

Авторы и ведущие семинара - специалисты компаний Domina Security и Инфотекс Интернет Траст, эксперты по информационной безопасности.

Продолжительность семинара: 21 академический час (3 дня по 7 часов).

По окончанию курса каждому участнику будет предоставлено свидетельство о его прохождении. В стоимость семинара входит coffee-breaks.

Стоимость семинара - 360 у.е. (для участников, зарегистрировавшихся по ссылке из данной рассылки, предоставляется скидка 10%)

Программа семинара

В первый день рассматриваются:
- Методологические основы обеспечения информационной безопасности
- Основные стандарты построения систем обеспечения информационной безопасности (ISO 9001, ISO 17799, ISO 15408, ГОСТ …).
- Методика выявления сведений, представляющих интеллектуальную собственность для организации
- Разработка политики информационной безопасности
- Формирование концепции обеспечения информационной безопасности
- Неинструментальный анализ риска в информационных системах
- Модель нарушителя информационной безопасности
- Формирование системы управления информационной безопасностью

Во второй день рассматриваются:
- Аналитические технологии управления информационной безопасностью
- Обеспечение информационной безопасности в чрезвычайных ситуациях
- Разработка совокупности планирующих документов обеспечения информационной безопасности
- Противодействие компьютерной преступности
- Законодательно-правовое обеспечение информационной безопасности
- Нормативные документы по обеспечению информационной безопасности и их применение в практической деятельности
- Государственная система лицензирования и сертификации в области защиты информации

В третий день рассматриваются:
- Безопасность сетевых технологий
- Защиты от НСД
- Мониторинг безопасности и аудит корпоративной сети
- Защита от вредоносных программ
- Безопасность удаленного доступа и подключения к Internet
- Организация защиты электронных документов при передаче по каналам связи

Для того чтобы принять участие в семинаре, заполните, пожалуйста, Анкету участника.

Семинар состоится 21 мая в 11-00 в офисе компании Инфотекс Интернет Траст по адресу: Ленинградский проспект, дом 80-5, Алкад Сокол Центр.
Схему проезда к офису можно посмотреть здесь.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.