Промышленный шпионаж — сумеречная территория. В большинстве случаев атаки остаются незамеченными, а информация о распознанных успешных вторжениях из соображений сохранения имиджа держится в секрете, если это возможно. Предположительно, реальные масштабы шпионажа куда крупнее, чем считают даже самые закоренелые пессимисты. Особую обеспокоенность вызывает то, что со стороны «хороших» безопасность выглядит совсем не так, как со стороны «плохих»: потенциальная жертва узнает о возможных путях утечки информации только на основании сообщений о печальном опыте других жертв. Безопасность ориентирована на определенные методы: защита каналов передачи данных, ограничение доступа к локальным массивам данных, контроль за персоналом и так далее — то есть в рамках известного.

ЗЛОУМЫШЛЕННИКИ ОРИЕНТИРУЮТСЯ НА РЕЗУЛЬТАТ

Злоумышленник же, напротив, действует, ориентируясь на результат: он специально ищет бреши в системе обеспечения безопасности, а их, к сожалению, больше, чем можно себе представить. Ему безразлично, можно или нельзя обобщить его методы: главное, чтобы они быстро вели к успеху. Такой образ мышления следует перенять и потерпевшим. Впрочем, сказать всегда проще, чем сделать.

Книга Айры Винклера «Шпионы среди нас» может оказаться весьма полезной. Автор, бывший сотрудник Управления национальной безопасности США, работает в Финляндии и по заказу различных компаний выискивает всевозможные слабые места при помощи методов промышленных шпионов. Однажды он, поработав полдня, сумел украсть стратегическую конструкторскую документацию на ядерный реактор (подробнее об этом несколько ниже). Сам он не был удивлен тому, что смог это сделать, поскольку очень хорошо изучил практику защиты. Его настораживает то, что приблизительно в 40% случаев он смог найти следы предшествующих взломов, о которых никто не знал. Это заставляет задуматься и подтверждает мысль о том, что хороший шпион не даст себя поймать, а его деятельность надолго останется тайной.

Первые тридцать страниц книги Винклера стоило бы прочесть всем специалистам по обеспечению безопасности, поскольку здесь автор объясняет, как работают секретные службы. Все оказывается гораздо практичнее и «скучнее» любого фильма на эту тему. Речь идет о наиболее дешевых путях получения информации, т. е. с минимальными затратами и низким риском (дополнительная информация представлена во врезке «Несколько понятий из области работы секретных служб»). Этот прагматизм отличает шпионов от хакеров, для которых проникновение в чужой компьютер часто является самоцелью. Профессиональному шпиону все равно, откуда получать информацию: из незашифрованных электронных писем, случайно подслушанных разговоров, маркетинговых мероприятий или мусорного ящика. «Информация — это информация» — подчеркивает Винклер. Шпион проводит свою атаку в самом слабом месте, ни о каком спортивном азарте речи не идет.

Получение информации в секретных службах — циклический процесс:

  • сначала следует понять, какого рода информация нужна (формулирование требований);
  • далее необходимо получить доступ к ней (сбор информации);
  • после этого добытая из разных источников информация объединяется и анализируется;
  • в завершение оценивается, насколько полученные результаты отвечают изначальным требованиям — и цикл запускается с самого начала.

Обычно со словом «шпионаж» связывают только второй пункт, остальное остается на заднем плане. Но только тот, кто понимает стратегию противоположной стороны, может эффективно обеспечивать защиту: ценные данные собираются из множества небольших составных частей, которые могут быть получены благодаря разнообразным брешам в системах безопасности или даже из свободно доступных источников (в третьей главе книги Винклер называет этот способ «смертью за 1000 шагов»). В первую очередь шпион воспользуется слабым местом — не взломом ключа RSA длиной 512 бит (как можно иногда подумать, почитав дискуссии на соответствующих форумах), а паролем администратора, который задан производителем, или безалаберностью равнодушного охранника, или незакрытой дверью подземного гаража.

НЕОЖИДАННОЕ ПОВЕДЕНИЕ

Винклер очень подробно описал атаку на слабое место в том самом сенсационном случае — уже упомянутом хищении конструкторской документации на ядерный реактор, когда совершалось нападение на объект с высоким уровнем защиты. Речь шла о крупной компании с большим количеством филиалов. Винклер и его ассистент-взломщик сначала выбрали один из них и рядом нашли ресторан, который часто посещают сотрудники этого филиала. В помещении стоял ящик, куда предлагалось бросать визитные карточки, чтобы выиграть бесплатный обед. Они незаметно взяли одну из карт и отправились к входу офиса. Когда охранник попросил показать удостоверение, Винклер ответил: «Я его дома оставил, вот моя визитная карточка». Этого оказалось достаточно, чтобы войти (спутника не проверяли). Затем «злоумышленники» спустились в подземный гараж, считающийся уже внутренним помещением компании, и вошли вместе с другими сотрудниками в главное здание. Поэтому, когда они спросили, где здесь можно получить пропуск, ни у кого не возникло подозрений. Фальшивая подпись — и они оказались легальными, с формальной точки зрения, сотрудниками предприятия.

С ПРОСТЫМИ СРЕДСТВАМИ — К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Со свежими удостоверениями они отправились на головное предприятие, где им, к большому удивлению, удостоверения не понадобились, поскольку в плотном потоке никто их в утренней толкотне не проверял (хотя заказчикам пришлось показать свои). Следующим незапланированным шагом Винклера стало выяснение местоположения графического отдела, поскольку там он ожидал найти компьютеры, на которых хранятся предложения — с искомыми техническими подробностями. Он выдал себя за представителя руководства компании и задал исключительно технические вопросы, к примеру, об используемых технологиях обработки текста (так он узнал формат некоторых документов) и о том, где хранятся документы с предложениями. Для проверки он попросил разрешения напечатать пару строк. Ничего не подозревающая жертва позволила, он ввел cat/etc/hosts. Так он смог узнать имя и IP-адрес сервера с документацией. Вот так примитивно выглядит атака профессионала на сеть!

Дальше история становится еще интереснее. Системный администратор сектора с высочайшим уровнем безопасности с готовностью показал Винклеру серверное помещение, и тот переписал еще несколько имен и IP-адресов с листков, которые кто-то предусмотрительно приклеил на стойки. Его помощник легко проник в системы, особенно в те, где пароли не использовались или оказывались стандартными. За полдня они получили доступ к важным документам, которыми интересовались и конкуренты. Причем последним, по всей видимости, тоже удалось это сделать, поскольку в системных журналах сохранилась информация о многократных попытках доступа из Индии. «У нас есть партнер в Индии, возможно, причина в этом». — «Им предоставлены права администратора?» — «Нет!!!» Таким образом, взлом, на который отводилась неделя, был проведен всего за полдня, причем попутно найдены следы настоящих взломов.

ИСТОЧНИКИ ОПАСНОСТИ

Конечно, подобные атаки связаны с рутинной работой, фантазией и определенной дерзостью. Однако профессионально работают не только секретные службы — конкуренты тоже так могут, что и демонстрирует пример с «индийским администратором». Опасность особенно велика, когда секретные службы начинают сотрудничать с коммерческими компаниями. По оценкам Винклера, прежде всего это утверждение имеет отношение к Китаю и Франции. Французская спецслужба DGSE обладает качественными технологиями проникновения в компьютеры, причем для атак они используют хакеров, чтобы любое подозрение пало на них. В распоряжении Китая огромное количество студентов и служащих, работающих по всему миру, но связанных с родиной финансовыми или семейными узами. Винклер считает все филиалы американских компаний в Китае подозрительными. Как и китайские рестораны, размещающиеся рядом с крупными компаниями и проводящие у себя корпоративные вечеринки. Один из коллег Винклера, к примеру, обратил внимание на слишком дешевые черные утиные яйца в одном из китайских ресторанов Лос-Анжелеса. По его мнению, это верный признак промышленного шпионажа: сюда хотят привлечь посетителей и подслушивать их разговоры.

КОНКУРЕНЦИЯ МЕЖДУ СЕКРЕТНЫМИ СЛУЖБАМИ

Однако самым опасным противником он считает Россию, поскольку здесь отдельные спецслужбы конкурируют между собой и экономически заинтересованы в успехе. Их арсенал методов, нацеленных на взлом информационных систем, сравним
с аналогичным потенциалом соответствующих служб США (прежде всего это касается ГРУ). Вряд ли стоит говорить, что США никогда не злоупотребляют своими возможностями, а американские спецслужбы не сотрудничают с коммерческими предприятиями! Так, по крайней мере, пишет Винклер — бывший сотрудник Управления национальной безопасности. Зато Израиль, Япония, Индия, конечно же, Иран и Куба, и даже BND (разведслужба Германии) подвергаются жесткой критике.

Однако шпионаж связан не только с секретными службами. Как уже упоминалось, конкуренты (причем нередко во всем мире) или просто недовольные сотрудники не прочь получить доступ к секретной информации. В четвертой главе книги приведен длинный список подобных источников опасности. Конкретный случай описан в девятой главе: служащий Афшин Баванд продавал КГБ технологии Ericsson, причем, как говорится, «тоннами». Баванд был не очень умным шпионом, но и после своего увольнения он смог добраться до важных данных при помощи бывших коллег. Мотив был прост — деньги.

Клиенты и поставщики могут контролироваться конкурентами или даже работать по их заданию. Еще более усложняет ситуацию то, что количество потенциально опасных инсайдеров постоянно растет, поскольку все чаще некоторые заказы выполняются на контрактной основе. Временным сотрудникам нередко предоставляются те же возможности доступа, что и внутренним пользователям (у одной из компаний, с которой работал автор этой статьи, было 2000 сотрудников и 3000 контрактников). Вычислительные сети практически не защищены от инсайдеров, то же самое можно сказать и о физической защите. Идеальный промышленный шпион вовсе не простофиля, а, как это часто бывает, высококвалифицированный гость, всегда готовый помочь. Он нужен коллегам и, как следствие, о многом знает. Однако не каждый высококвалифицированный и готовый помочь гость является шпионом!

Хакеров, как считает Винклер, не так уж и много, и они, скорее, связаны с организованной преступностью, как он указывает во многих местах книги. Однако следует признать, что взлом компьютеров уже давно перестал быть азартным увлечением — сознательно или бессознательно он используется криминальными сообществами, которые применяют зомби-сети для рассылки спама или вымогательств и пользуются чужими кредитными картами. Террористы, по его мнению, не станут нападать на сеть — никакой пользы им это не принесет. А значит, понятие кибернетического терроризма само по себе абсурдно. Закладка бомб или рассылка белого порошка в почтовых конвертах гораздо проще и вызывает значительно большую панику.

АНАЛИЗ ОПАСНОСТИ

Для сокращения вероятности утраты данных величину любой потери необходимо оценить. Степень риска можно рассчитать с помощью следующего уравнения:

 

Это уравнение способно оказать существенную помощь при построении рациональной концепции обеспечения безопасности. В большинстве случаев масштаб угрозы изменить невозможно и оценить довольно трудно, однако вводить бесчисленные контрмеры (антивирусные сканеры, брандмауэры и т.д.) бессмысленно, если система уязвима изначально (к примеру, когда по почте разрешено пересылать вложения любого формата). Кроме того, нет смысла принимать дорогостоящие меры для защиты маловажной информации.

Все эти правила просты, но о них забывают (см. также врезку «О чем часто забывают ответственные за безопасность»). Кроме того, определить стоимость информации часто не представляется возможным. Наряду с явной ценностью, выраженной в деньгах (если ее можно подсчитать), необходимо учитывать и скрытую ценность информации — конфиденциальность, целостность данных, доступность услуг или работоспособность предприятия. Как утверждается, вирусное заражение обходится предприятию в среднем в 20 тыс. долларов, однако это значение едва ли можно вычислить точно.

В 13-й главе своей книги Винклер приводит приблизительное — очень разумное — описание того, как обращаться со всеми перечисленными факторами на практике. Так, автор предостерегает, что меры по обеспечению безопасности не должны мешать производительности, а кроме того, необходимо получить одобрение пользователей. К сожалению, эта рекомендация не подкрепляется конкретными примерами. Ясно, что речь идет не только о шпионаже, но и о природных катастрофах, потере данных и разбойных нападениях.

Список возможных брешей в системе обеспечения безопасности и соответствующих контрмер очень обширен. Но у Винклера есть своя точка зрения, которая несколько отличается от представленных в многочисленных публикациях: технические меры принимать необходимо, однако приоритет принадлежит организационным мероприятиям, которые обычно относят к «субъективным факторам». На первое место он выдвигает инструктаж и мотивацию сотрудников. Безопасность не должна мешать — это обязательная часть деловой культуры. Надо проинформировать пользователей, к кому следует обратиться в случае обнаружения опасностей или подозрительного поведения, а сознательное отношение к методам защиты невозможно без их всеобщего одобрения.

Многие рекомендации на первый взгляд кажутся почти тривиальными, однако на практике реализуются крайне редко:

  • внимательные пользователи —лучшая защита. Они должны обладать информацией о возможных угрозах, а также — по возможности — о конкретных примерах (хотя последнее, конечно, редко бывает желательным);
  • замками на дверях и ящиках рабочего стола надо пользоваться. Убирать подальше ноутбуки, если они могут быть украдены;
  • сотрудникам следует знать, как надо действовать при пожаре, отказе питания, при наводнениях;
  • необходимо точно определить, где хранить различные данные и, прежде всего, кто к ним может получать доступ. То же самое касается и резервных копий!
  • бэджики, которые носят сотрудники, должны быть анонимными, по крайней мере, на них не должно стоять имя; миниммум — идентификационный код;
  • важные документы нельзя оставлять на столе, во всяком случае после завершения рабочего дня;
  • устройство для уничтожения деловых бумаг — шредер — нужная вещь;
  • копировальные аппараты должны использоваться только вместе с картами;
  • нужны ясные и понятные директивы, известные всем;
  • о ликвидации ущерба надо заботиться заранее!

ХАКЕРЫ НА СТОРОНЕ ЗАЩИТЫ?

В концепции обеспечения безопасности Айры Винклера не остались обделены вниманием и «обычные» меры — защита беспроводных сетей, криптография (шифрование электронной почты, виртуальные частные сети, надежная аутентификация и так далее), защита хранителя экрана паролем и прочее. Многие детали описаны в главе 12, и каждый читатель может сам решить, что именно для него важно. Однако, как показывает опыт, в повседневной работе многим приходится жертвовать в стремлении добиться быстрого успеха.

Винклер активно выступает против одной популярной «меры обеспечения безопасности», а именно — он считает, что не следует позволять хакерам сканировать корпоративную сеть с целью поиска слабых мест (см. врезку «Айра Винклер и хакеры»). В первую очередь он высказывается против этого из этических соображений. Кроме того, Винклер задается вопросом, в какой мере можно быть уверенным в том, что хакер не «зарезервирует» обнаруженные бреши для последующих атак. В связи с этим имеет смысл подчеркнуть отличие между принципами действий хакеров и экспертов в области безопасности: хакер специализируется на нападении, а эксперт в вопросах обеспечения безопасности — на защите.

Указывать на отсутствие заплат в браузере почти бессмысленно, если «залатанный» браузер загружает ненадежный подключаемый модуль или неправильно обслуживается. Тот, кто работает на замкнутой системе под VМware Player, принял верное решение. Или еще одна, более простая идея автора статьи: в системах Unix и Linux можно работать под маской цифровой личности с ограниченными правами. Это возможно и без SE-Linux или зон Solaris, при помощи мини-сценария, к примеру, cat ~/.Xauthority >/home/surf/.Xauthority su — surf “cd $HOME; /usr/local/firefox/firefox $*” &.

Буквосочетание surf обозначает пользователя без пароля. Да, конечно, каждому пользователю понадобится дополнительная персональная учетная запись, но выигрыш для системы обеспечения безопасности значителен. Любая «история», «плюшки» (cookies) и прочее после работы должны удаляться, причем начиная с Firefox 1.5 эти рекомендации выполняются автоматически. Короче говоря, хороший консультант не только отыщет слабые места, но и предложит концепции для предотвращения потенциальных, пока еще неизвестных, атак.

Что примечательно, Винклер не переоценивает техническую сторону проблемы, отдавая должное организационным мерам и особенностям поведения людей. Он работает консультантом в области безопасности и не хочет продавать готовых решений! Защита информационных технологий является частью более общей концепции и может быть реализована, только когда вопросы обеспечения безопасности обсуждаются сотрудниками и экспертами на одном языке. Ценной эту книгу делает здравый смысл, хотя в ней представлен «очень американский» взгляд на некоторые вещи, и иногда хочется больше примеров, чем утверждений.

Райнхарт Вобст — д-р естественных наук, специалист в области криптографии и ОС UNIX/Linux.

© AWi Verlag

Несколько понятий из области работы секретных служб

Спецслужбы получают информацию из множества источников:

HUMINT (Human Intelligence) — агентурная разведка, «работа в поле»: скрытые расспросы, незаметное копирование, случайное подслушивание в общественном транспорте или в гостиницах, установка «жучков» и пр.

SIGINT (Signal Intelligence) — анализ каналов передачи сообщений: электронная почта, телефонные разговоры, сетевой трафик всех типов, взлом компьютеров, радиотрафик. Их содержимое не всегда вызывает интерес, нередко достаточно анализа трафика: кто, когда и кому отправил сообщение. Управление национальной безопасности ассоциируется преимущественно с этим видом получения информации, но это лишь часть его работы!

IMINT (Image Intelligence) — анализ изображений.

OSINT (Open Source Intelligence) — анализ источников, находящихся в свободном доступе (сообщения в форумах, списках рассылки, со страниц Web, печатные материалы, несекретные данные: если в 10 ч вечера на военную базу доставляется слишком много пиццы, готовится операция). Есть предположение, что Управление национальной безопасности получает 80% информации именно таким образом.

TRASHINT, анализ мусора: обратная сторона рукописей или черновые заметки (чеки от использования кредитных карт), мусорные ведра и так далее.

«Шпион» в классическом смысле слова — это «специальный агент» (неофициальный сотрудник), который в большинстве случаев не знает, на какой риск идет. Его мотивами могут быть деньги, идеология, честолюбие, но определенную роль, случается, играет и шантаж. Таких людей используют и руководят ими «оперативники» (ответственные офицеры), которые едва ли подвергаются какому-либо риску.

Большая часть сотрудников секретных служб («агентов») сидит за рабочим столом и занимается планированием добычи данных и оценкой информации.

О чем часто забывают ответственные за безопасность

  • Меры безопасности часто натыкаются на халатность и равнодушие (отсутствие мотивации у сотрудников и охраны). С этим нужно бороться.
  • Нет оповещения о происшествиях, не дается их оценка, неизвестно, к кому можно обратиться в случае проблемы.
  • Правила для обеспечения безопасности не разработаны или отсутствуют.
  • Частные сообщения на форумах Internet, электронные письма третьим лицам — обычная практика на предприятии.
  • Маркетинговые подразделения неосознанно публикуют слишком много информации.
  • Отчеты о работе, внутренние и внешние письма не шифруются.
  • Рукописи защищаются недостаточно, внимание уделяется только конечной версии (как в случае бумажных, так и электронных документов).
  • Телефоны в иностранных отелях нередко прослушиваются.
  • Данные с кредитных карт в заграничных командировках иногда позволяют делать определенные заключения.
  • После увольнения сотрудники сохраняют доступ к внутренним ресурсам.
  • Физическая безопасность игнорируется: открыт доступ к компьютерам, носителям данных и документам, рукописи не уничтожаются, резервные копии хранятся ненадежно.
  • Трафик беспроводных локальных сетей можно прослушивать извне, а эфир — сканировать с целью поиска беспроводных точек доступа (атака изнутри).
  • Не пресечена возможность копирования данных на накопитель USB, карту SD или на мобильный телефон через инфракрасный порт.

Айра Винклер и хакеры

Кому доводилось слушать доклад Айры Винклера на какой-либо конференции, знает о его выпадах против бывших хакеров и преступников, которые после отбывания наказания становятся консультантами по вопросам обеспечения безопасности. Когда в 2003 г. Винклер совместно с Кевином Митником на конференции RSA принимал участие в публичной дискуссии, посвященной этой теме, чуть было не потребовалось вмешательство модератора — настолько серьезно столкнулись противники.

Свои сомнения по поводу пользы от обращения к услугам бывших преступников Винклер обосновывает теоретически, утверждая, что изменить своим принципам и взглядам может, конечно, и «всегда хороший», но только не «однажды плохой». Впрочем, это чересчур упрощенное объяснение. Абэнейл разработал важные принципы защиты современных платежных формуляров, кроме того, он успешно консультирует ФБР. Возможно, Винклер, который ощущает себя кем-то вроде «Джеймса Бонда мира информационных технологий», немного завидует той ауре, что окружает «настоящего» хакера?

Йоханнес Виле