Никогда не знаешь, что упущено в обеспечении защиты информационной безопасности, — это признают все. Эксперты открывают секреты, как найти изъяны в защите.

Про хорошие продукты никогда не говорят, что они абсолютно надежны.
Пол Кочер, компания Cryptography Research

В 1999 году в ведущую группу экстренной компьютерной помощи — координационный центр CERT Университета Карнеги-Меллона — поступило 9859 сообщений о разного рода инцидентах, связанных с защитой. За первую половину 2000 года число таких сообщений достигло уже 8839. Вместе с тем в 1999 году в CERT было прислано 417 отчетов о недостатках программного обеспечения, а за шесть месяцев 2000 года таких отчетов было получено уже 442.

Самый большой секрет № 1

Основная часть изъянов в защите — это хорошо известные недостатки программного обеспечения, которые ликвидируются с помощью легко доступных «заплаток».

«Эти изъяны известны уже многие месяцы, если не годы, и их очень легко обнаружить», — утверждает Фил Кокс, консультант специализирующейся на вопросах защиты компании SystemExperts и бывший член Совета по компьютерным инцидентам Министерства энергетики США. Комментируя регулярно публикуемый SANS Institute список десяти основных Internet-угроз, Кокс настаивает, что все они возникают «просто из-за отсутствия управления конфигурацией». К примеру, в SANS Institute пришли к выводу, что в середине 1999 года почти 50% всех DNS-серверов были оснащены незащищенной версией популярной программы Berkeley Internet Name Domain. С тех пор ситуация практически не изменилась; это подтверждают и данные, собранные другими организациями. Об ошибке FTP, получившей название FTP Bounce, сообщалось еще в 1997 году. Вредоносный сценарий network.vbs обнаружен в марте. Много ли систем с тех пор обновлено?

И хотя консультанты по безопасности с удовольствием возьмут деньги за поиск таких очевидных изъянов, не стоит ли задуматься о лучшем применении своим деньгам и талантам?

Самый большой секрет № 2

Вопреки распространенному мнению поиск дыр в защите и установка заплаток еще не гарантируют надежной защиты в Internet.

Как подчеркнул Ян Пойнтер, руководитель консалтинговой фирмы Jerboa, даже если проверять надежность своей защиты и тщательно следить за тем, чтобы все программные заплатки были вовремя установлены, не стоит считать, что вы организовали неприступную систему защиты. Пойнтер уверен, что такой метод «поисков и исправлений» в большей степени идет во благо отрасли систем информационной безопасности, нежели служит интересам компаний, нуждающихся в защите.

Пойнтер убежден, что при решении проблем сетевой безопасности лучше взять на вооружение методы, используемые при создании надежного аппаратного обеспечения. Так, любой производитель оборудования умеет вычислять среднее время между отказами каждого компонента системы и, следовательно, системы в целом. На основе этих расчетов системные администраторы планируют степень избыточности архитектуры, обеспечивающей предотвращение сбоев.

Пойнтер считает, что применение таких методов защиты сети позволит предотвратить беду, а не заниматься ликвидацией ее последствий: «Мы стремимся использовать научный подход к решению задачи обеспечения безопасности в Internet».

При подобном проектировании информационных систем менеджер по вопросам защиты создает специальные таблицы, в которых указана вероятность Internet-атаки для каждого конкретного устройства или сегмента сети. С их помощью можно определить, как, где, когда и какой вид защиты необходимо использовать в сети. Во многом такой подход напоминает работу страховой компании, которая рассчитывает факторы риска, определяя страховой взнос каждого конкретного клиента.

С помощью методов системного проектирования создается более предсказуемая защита. Как и любая наука, системное проектирование не гарантирует безоблачного существования, но субботний пикник лучше планировать, учтя, какая погода в пятницу.

Самый большой секрет № 3

Найти бреши в защите, анализируя аномальное поведение, невозможно.

Некоторые консультанты по вопросам защиты и производители рекомендуют для обнаружения проникновения выявлять аномалии в поведении сети. Идея состоит в следующем. Если определить базовые параметры топологии и производительности сети, то бреши в защите можно обнаружить в результате поиска необычных действий. Хотя на первый взгляд этот подход не лишен логики, расчеты показывают, что практически он неосуществим.

«До тех пор пока изо дня в день я делаю одно и то же, математическая модель моих действий будет абсолютно точна. Но если я выполняю различные действия, система поиска аномалий перестает работать», — подчеркнул Маркус Ранум, директор по технологиям компании Network Flight Recorder, выпускающей системы обнаружения проникновения. Решения, основывающиеся на поиске аномалий, не работают по трем причинам. Во-первых, люди — существа непредсказуемые. Во-вторых, нет никаких гарантий того, что в момент создания профайла сеть не подвергалась атаке, а значит, полученный профайл не будет «легализовать» хакерские действия. В-третьих, функционирование крупных сетей настолько многообразно, что само понятие статистической аномалии просто теряет смысл.

«Для того чтобы обнаружить реальную аномалию, необходима нейронная сеть и огромные ресурсы», — считает Рич Хограгиа, вице-президент страховой компании Golden America Life. Более того, если система слишком часто сообщает об аномалиях, в конце концов специалисты по защите просто перестанут обращать внимание на такие предупреждения.

Вместо этого следует вести поиск таких действий, которые служат признаком атаки. Например, упомянутый вредоносный сценарий network.vbs начинает свою деятельность с открытия network.log на локальной машине, а затем генерирует произвольный 24-разрядный сетевой адресный блок, первые восемь разрядов которого для первых 50 адресов, как правило, находятся в диапазоне от 199 до 214.

Как и антивирусные сканеры, системы обнаружения проникновения должны выполнять поиск сигнатур (признаков) атаки. Например, они должны убедиться, что ответы ICMP не являются маскировкой для распределенной DoS-атаки.

Конечно, всегда следует искать признаки сканирования портов в журналах регистрации. «Как только такие признаки обнаружены, свяжитесь с Internet-провайдером, от имени которого такое сканирование ведется, и попросите его проанализировать ситуацию. Большинство соглашений с провайдерами не разрешают сканирование портов», — подчеркнул Хограгиа.

К самым очевидным признакам проникновения в Unix-систему, как считают специалисты CERT, относятся скрытые файлы или каталоги, а также файлы setuid и setgid.

Самый большой секрет № 4

Необходимость использования хакерских инструментов.

По мнению Кокса, узнать, что именно видят хакеры, когда зондируют сеть, можно с помощью тех же хакерских инструментальных средств. Синди Беллард из компании Bid4vacations.com также признает многочисленные достоинства хакерского инструментария наподобие Strobe, Mscan/Sscan и SATAN/SAINT/ SARA. Анализ данных, представленных такими инструментами, требует большего опыта, чем анализ данных, получаемых с помощью коммерческих инструментальных средств, но использование решений хакеров помогает лучше понять ход их мыслей.

Однако такое оснащение несет в себе определенный риск. Под сканер портов может «маскироваться» вредоносный код или «черный ход» для того, кто поддерживает FTP-узел, с которого вы этот инструментарий загрузили. В случае возникновения атаки может оказаться так, что именно на специалисте по защите лежит ответственность за нее, поскольку именно из-за него вредоносная программа оказалась в корпоративной сети. Необходимо убедиться, что руководство знает о том, что сотрудники используют этот инструментарий, а не только коммерческие сканеры. Беллард рекомендует загружать и тестировать хакерские инструменты на автономной машине и достаточно быстро их удалять.

Если же вы сами не рискуете использовать хакерский инструментарий, пригласите консультанта по вопросам защиты, который будет этим заниматься.

Самый большой секрет № 5

Длина ключа — самая малозначимая характеристика при оценке надежности инфраструктуры открытого ключа (PKI — public-key infrastructure).

Сейчас, когда чаще всего поддерживаются ключи как минимум в 128 разрядов для симметричного шифрования и 1024 разряда для RSA, линия обороны перенесена на другие рубежи. Так считает Пол Кочер из компании Cryptography Research. По его мнению, намного важнее подтверждение ключа. Другими словами, не стоит придавать большого значения тому, что хакеры могут расшифровать данные. В первую очередь необходимо подумать о том, чтобы не допустить перехвата ключей.

Во многих продуктах, используемых для выдачи сертификатов и шифрования данных, как считает Кочер, ничего не сделано для того, чтобы не допустить нелегитимного использования таких ключей. «Это очень сложная задача, поскольку серверы подтверждения должны работать бесконфликтно с различными уполномоченными по выдаче сертификатов и производителями продуктов, — подчеркнул он. — Компрометация даже одного ключа может вызвать катастрофические последствия».

Кочер рекомендует проанализировать отчеты об ошибках текущих и предыдущих версий решений класса PKI, которые предполагается использовать. Стоит обратить внимание на поддержку стандартов и продуктов, которые имеют опубликованные архитектуры шифрования. По его мнению, опубликованные архитектуры обеспечивают максимальный уровень защиты.

Особенно следует опасаться громоздкого кода. Чем сложнее продукт, чем выше вероятность того, что в нем есть уязвимые места. Длинный перечень возможностей — это признак опасности, поскольку большинство ошибок скрыты в редко используемых функциях.

Полезно задуматься о том, насколько открыт и честен тот или иной производитель. Предлагаются ли обзоры независимых экспертов? Насколько их посулы реалистичны и насколько качественно документированы? «Про хорошие продукты никогда не говорят, что они абсолютно надежны, — подчеркнул Кочер, — и хорошие компании всегда открыто говорят о рисках для защиты и случаях отказов в своих продуктах».