Крис Клаус о хакерах и скрытых изъянах систем защиты

Крис Клаус: «Операционной системы, которая не имеет лазеек, попросту не существует»

Учитывая, что технологии, используемые для корпоративного шпионажа и атак хакеров, становятся все изощреннее, сетевые администраторы должны быть уверены в том, что все возможные «черные ходы», или «лазейки», для проникновения в сеть закрыты, и если кто-то попытается нарушить защиту, им тут же станет об этом известно. И что же дальше?

Чтобы побеседовать о системах обнаружении вторжения, о хакерах и скрытых изъянах систем защиты, старший обозреватель еженедельника InfoWorld Мэттью Нельсон встретился с Крисом Клаусом, директором по технологиям и основателем компании Internet Security Systems.

В чем в действительности состоит обнаружение вторжения? И не могли бы Вы объяснить, как работает Internet-сканер?

Сканер действует как киберохранник, который обходит свою территорию и проверяет, не открыты ли окна и двери и не может ли хакер проникнуть через них в сеть. В большинстве своем подобные инструментальные пакеты пытаются «открыть дверь» той или иной службы, того или иного приложения, чтобы проверить, насколько она «плотно закрыта». Но если вы нажали на ручку, и дверь приоткрылась, означает ли это, что в образовавшуюся щель действительно может проникнуть нарушитель? «Дверь» ведь можно открыть самыми различными средствами. Мы можем узнать номер версии приложения, если проверим, была ли установлена последняя заплатка. Некоторые из методов, такие как «отказ от обслуживания», действительно можно попытаться использовать и посмотреть, отключится ли машина. Если администратор решил проверить, способен ли межсетевой экран выдержать реальную атаку, можно, моделируя атаку в контролируемой среде, определить, является ли она на самом деле защищенной.

Кому в первую очередь следует позаботиться о средствах системы обнаружения вторжений?

Очевидно, это в первую очередь касается систем электронной коммерции, средств взаимодействия между бизнес-партнерами. Использование средств обнаружения вторжения во многих случаях связано с применением виртуальных частных сетей, которые, по сути, являются защищенными каналами, связывающими одну сеть с другой. Можно создать такие каналы для связи с бизнес-партнером или внутри компании. Эти каналы шифруются, но что именно происходит внутри? Чтобы выяснить это, в конечных точках каналов можно установить инструментарий Intrusion Detection Systems (IDS). Мы работаем со многими банками и другими организациями, которые вовсе не хотели бы, чтобы информация свободно гуляла между разными их подразделениями. Обнаружение вторжений может восприниматься как один из механизмов контроля за внутренним распорядком компании, определяющим, скажем, может ли инженерное подразделение получать доступ к компьютерам, установленным в отделе кадров, или это является нарушением действующих в компании правил работы.

Многие организации устанавливают межсетевые экраны и считают себя в полной мере защищенными. Почему это не всегда так?

Межсетевой экран действует как пластырь. Внутренняя сеть защищается путем блокирования наиболее популярных служб. Главная проблема состоит как раз в том, что в компании, которая начинает заниматься электронной коммерцией, определенные приложения получают право проникать за межсетевой экран. Другими словами, межсетевой экран должен быть открыт для выполнения определенных операций. Открывая все больше и больше портов, вы подвергаете себя все большему риску. Во многих случаях ваши бизнес-партнеры теперь получают возможность проникать за межсетевой экран — в вашу внутреннюю сеть. Другими словами, несмотря на то, что у вас установлен межсетевой экран, вы приняли очень либеральные правила доступа. В этом случае IDS в состоянии помочь управлять защитой внутренней сети и гарантировать, что вы можете контролировать доступ и обнаружить попытку сканирования вашей сети изнутри или проверки прочности.

То есть выявить внутренние атаки?

Около 80% атак являются внутренними. Сотрудники компании, приобретая все более высокую квалификацию, выходят в Internet и обнаруживают, что проникновение —дело нехитрое; они могут обратиться к любому поисковому серверу и, набрав слово hacker, получить руководство, в котором подробно рассказывается, как проникнуть туда, куда им хочется. От такой напасти должны быть защищены и корпоративные сети, и узлы электронной коммерции.

Многие из «тайных дверей» используют традиционные «шпионские» способы. Вы можете удаленно контролировать чей-то ноутбук, установив «жучок» на... самом ноутбуке. Многие ноутбуки теперь оснащаются видеокамерами для поддержки встроенных возможностей проведения видеоконференций. «Лазейки» позволяют просматривать, прослушивать и скачивать эту информацию по сети на удаленный узел. Поэтому теперь даже не нужно физически вносить «жучка» в чью-то систему. Вы можете просто проникнуть на их компьютер и использовать его. И такой способ достаточно часто применяется для большинства атак с целью нарушения защиты.

Internet остается средством коммуникации, сохраняющим анонимность, где пользователи не идентифицируются. Как вы считаете, изменится ли когда-нибудь эта ситуация?

Около 80-90% «населения» Internet уже под контролем, поскольку информация о них имеется у провайдеров, к услугам которых они обращаются. Когда системные администраторы следят за атакующим, им достаточно легко узнать, какие учетные записи он использует. Это позволяет им защититься от такой атаки или, в тех случаях, когда вовлечены правоохранительные органы, позволяет быстро выявить нарушителя. С помощью Internet-провайдера можно определить телефонный номер и, обратившись к телефонной компании, узнать, где именно установлен телефон с таким номером. Но самые искушенные нарушители могут пытаться проникнуть в сеть, используя довольно много промежуточных серверов в Internet. Они могут предпринять свою попытку вторжения через «густонаселенный» сервер какого-нибудь университета, где на каждой из машин работает от 20 до 50 человек, а затем с этого сервера переходят на другой, с которого уже и пытаются атаковать. В такой ситуации довольно сложно выяснить, кто же именно совершил атаку. Однако в более чем 80% всех атак, с которыми нам приходилось иметь дело, столь совершенные средства не применялись. Очень часто используется коммутируемый доступ, предоставляемый одним из популярных провайдеров.

Как вы считаете, будут ли когда-нибудь созданы государственные ведомства, защищающие Internet?

Я думаю, что в ближайшее время нам самим придется позаботиться о своей защите. Компании сами занимаются управлением рисками, связанными с защитой.

Каким образом обычно создаются «лазейки» и как они используются для получения доступа?

У корпоративных пользователей таких возможностей огромное множество. Один из наиболее популярных способов состоит в том, что сотрудник, вооружившись дискетой, может легко получить доступ к различным компьютерам и организовать такие «лазейки» вручную, а затем обратиться к ним удаленно со своего рабочего места или даже из дома. Злоумышленники также могут использовать старую версию SendMail или электронную почту, которая позволяет зарегистрироваться на сервере, не указывая имя пользователя и пароль, и стать суперпользователем, а затем без помех установить «лазейку». При работе с NT обычно довольно просто установить «лазейки» через одно из Web-приложений. Или путем переполнения буфера. Воспользовавшись тем, что человек ничего не подозревает, вы можете послать кому-то «лазейку» по почте и надеяться, что они ее запустят. И когда она начнет работать, то тут же отошлет вам сообщение: «Эй, они установили ?лазейку?». Вот, наверное, самые популярные методы.

Следует ли из этого, что продукты Microsoft, какого-то другого производителя или то или иное конкретное приложение менее защищены? Или это общий вопрос для всех систем?

Это больной вопрос всех операционных систем. Для Unix подобные «дыры» вместе с «дорожными наборами» для их ликвидации существуют уже почти десять лет. И с ростом использования Windows NT и Windows хакеры постоянно совершенствуют эти «лазейки», поскольку все больше людей используют их на своих настольных компьютерах. Но операционной системы, которая не имеет «лазеек», попросту не существует.

Что опаснее, известная или неизвестная «лазейка»?

И то и другое опасно. Если в организации нет системы обнаружения вторжений или нет технологии, позволяющей проводить тестирование или сканирование защиты системы, тогда разницы нет никакой. Они все равно не знают о «лазейках».

Как сейчас, по-вашему, меняется сообщество хакеров?

Оно не меняется в том, что касается излюбленных мест для вторжения в системы. Хакеры по-прежнему пытаются проникнуть в системы через популярные уязвимые места, при том что уровень автоматизации средств нападения с помощью «троянских коней» и лазеек продолжает расти. Но опять-таки «лазейка» — далеко не новая концепция. Она существует уже около 15 лет, и связанные с ней уязвимые места существуют столь же долго. И это по-прежнему наиболее популярный способ, который применяют люди для проникновения в сети и их использования. Они не сидят, вооружившись десятками тысяч компьютеров, пытаясь взломать код. Они «охотятся» за сервером, чтобы сразу загрузить всю базу данных кредитных карточек. Не стоит тратить силы на то, чтобы взломать одну кредитную карточку, зашифрованные кредитные карточки. Они пытаются решить намного более простую задачу и «охотятся» за приложениями, сетью или операционной системой. Вот какие вопросы в первую очередь должны решать специалисты по защите. Это абсолютно новая область, и она не относится к области определения вторжений или действия сканеров. Но я считаю, что она станет основным направлением развития средств защиты.

Всегда ли хакеры будут идти на шаг впереди? Неужели нельзя добиться того, чтобы сеть была абсолютно защищена?

Компания, которая действительно серьезно относится к защите и реализует серьезный план ее организации, внедряя необходимые архитектуру, политику, методики и инструментарий, может чувствовать себя в достаточной степени в безопасности, работая через Internet. Но для этого необходима реализация полного решения, где применяются сканеры, системы обнаружения вторжения, межсетевые экраны и виртуальные частные сети. Те, кто этого не делает, остаются крайне уязвимыми и в любой момент могут подвергнуться атаке. Я думаю, что страховка от хакеров, по мере того как ей будет уделяться все больше внимания, заставит компании рассматривать защиту не как затраты, а как средство ведения бизнеса. Просто вы выплачиваете страховой взнос за защиту своих активов электронной коммерции. Необходимо применять лучшие на сегодняшний день решения по организации защиты серверов. Это позволит предотвратить 99,9% всех хакерских атак. Такого понятия, как полная, абсолютная защита, увы, не существует. Опять-таки, как происходит в реальном мире? Банки имеют охрану, камеры слежения, самые разные механизмы, и тем не менее их по-прежнему грабят. Но они продолжают зарабатывать деньги и в состоянии предотвращать 99% нападений, которые могли бы произойти, если бы они не использовали самые современные средства защиты. То же самое верно и для защиты сетей. Компании или смогут заниматься электронной коммерцией, обеспечив приемлемую защиту, или не смогут вообще вести бизнес.


Куда утекают деньги?

Средние убытки от компьютерных преступлений и нарушений защиты компьютерных систем, долл.*

  1998 1999
Несанкционированный доступ со стороны сотрудников компании 181437 2810000
Кражи внутренней информации 954666 1670000
Намеренное искажение данных или повреждение сетей 164840 86000
Несанкционированный доступ к системным данным посторонних лиц132250 86000
Злоупотребления доступом в Internet со стороны сотрудников компании 18304 56000
Вирусы 75746 55000

* В том числе убытки, понесенные вследствие кражи интеллектуальной собственности, оплата работы сотрудников и расходы на расследование.

По результатам бухгалтерских отчетов 241 компании

Поделитесь материалом с коллегами и друзьями