Автор книги Real World Linux Security делится своими взглядами на проблемы защиты данных

Боб Токсен: «Программисты, Web-дизайнеры и администраторы баз данных имеют к проблемам безопасности самое непосредственное отношение. Они найдут в моей книге немало полезного для себя»

Новая книга Боба Токсена Real World Linux Security: Intrusion Prevention, Detection, and Recovery («Безопасность Linux в реальном мире: обнаружение и предотвращение проникновения в систему, ликвидация последствий») появилась на прилавках магазинов в конце прошлого года. Токсен, занимающий сейчас пост президента и директора по технологиям компании Fly-By-Day Consulting, может похвастаться весьма богатым послужным списком: он создатель компании Sunset Computer, один из 162 известных миру разработчиков операционной системы Berkeley Unix, один из авторов проекта по переносу Unix на платформу Silicon Graphics, главный архитектор программного обеспечения устройств Netgear ND508 и ND520, а также программного обеспечения для Центра управления космическими полетами имени Кеннеди.

Боб, я знаю, вы гордитесь своей книгой — я уже понял это из ваших реплик. Но кому вы все-таки адресуете ее, конечно, кроме системных администраторов, отвечающих за вопросы безопасности?

Любому, кто занимается администрированием одной или более систем под управлением Linux или Unix. Сюда относятся и те пользователи, у кого Linux установлена дома, и те, кто управляет системой, не будучи на самом деле системным администратором. Программисты, Web-дизайнеры и администраторы баз данных имеют к проблемам безопасности самое непосредственное отношение. Они найдут в книге немало полезного для себя. В ней рассматриваются общие ошибки и тонкости программирования, проектирования Web-страниц и баз данных. Любая система, поддерживающая связь с Internet и другими крупными или общедоступными сетями, подвергается риску. Простой установки межсетевого экрана недостаточно. Для обеспечения безопасности необходимо четко представлять себе ограничения межсетевых экранов — знать обходные пути и туннели, по которым взломщики проникают в систему — и уметь предотвращать подобные атаки.

Поскольку единственный защитный барьер никогда не дает 100-процентной гарантии, большинство экспертов рекомендуют использовать сразу несколько средств. Если взломщик преодолевает один заслон, на его пути встает другой, а вслед за ним еще и еще. В реальном мире многоступенчатая система безопасности — обычное явление. Прежде чем встретиться с руководителем крупной компании, вы проходите через пост охраны у ворот, затем, оставив свой автомобиль на стоянке, встречаетесь с охранником в вестибюле, и лишь после этого вас проводят к секретарю руководителя.

Зачастую системам, которые находятся за межсетевым экраном, требуются дополнительные средства безопасности, позволяющие уменьшить риск взлома. К примеру, межсетевой экран может пропустить нежелательное сообщение электронной почты на Linux-компьютеры внутри сети. Если такое происходит, необходимо установить на компьютеры обновленную версию Sendmail. Правильно настроенная конфигурация Sendmail позволяет предотвратить считывание системной информации и дальнейшую рассылку спама. Даже персональный компьютер, на который поступают подобные послания, должен быть укреплен, чтобы исключить возможность использования хранящихся на нем данных для нанесения удара по другим, критически важным системам.

Вы говорите, что любому человеку, работающему с Unix, следует прочесть вашу книгу. А ведь Linux стоит на миллионах домашних компьютеров. Владельцы большинства из них — любители. Как быть человеку, профессия которого не связана с системным администрированием? Можете ли вы предложить список приоритетных задач, на которые прежде всего стоило бы обратить внимание любителям?

По моим оценкам, в будущем атакам взломщиков подвергнется от четверти до половины всех систем Linux и Unix, пользователи которых не предпримут надлежащих мер. Другие платформы рискуют еще больше.

Прочитав книгу, администраторы-любители смогут оперативно устранить большинство уязвимых мест.

Книга содержит краткое введение в систему безопасности Linux. На конкретных примерах рассказывается, каким образом взломщик может проникнуть в компьютер.

С первых строк вы начинаете понимать, как связаны между собой отдельные компоненты системы безопасности. Затем обсуждаются службы, являющиеся потенциальным источником угрозы, такие как NFS и finger. Во многих вариантах Unix они устанавливаются по умолчанию, хотя большинству пользователей подобные возможности не нужны. Благодаря им взломщики могут довольно легко проникнуть в систему. Потратив несколько минут на отключение этих компонентов, вы сделаете свою систему гораздо более безопасной.

Вы подразделяете всех взломщиков на несколько категорий: «недовольные чем-либо сотрудники», «убежденные экстремисты» и т. д. Можете ли вы охарактеризовать масштабы угрозы, которую несет в себе каждая из этих категорий? Многие сети сегодня настолько уязвимы, что буквально любой желающий может нанести им огромный ущерб. В тех организациях, где к безопасности относятся со всей серьезностью, наибольшая угроза, на мой взгляд, исходит непосредственно от сотрудников компании.

Несмотря на то что представители спецслужб утверждают, что примерно половина всех взломов производится служащими компаний, опыт подсказывает мне, что самый серьезный урон все-таки связан с вторжениями извне. В системах, подключенных к Internet, внешняя угроза заметно возрастает.

Вероятность атаки развлекающихся хакеров, идейных экстремистов, а также тех, кто недоволен происходящим в его компании, на ту или иную корпоративную систему может варьироваться в зависимости от конкретных обстоятельств. Но в данном случае определяющую роль играет не столько философия взломщиков, сколько их возможности на текущий момент.

Как пришедшему в компанию администратору системы безопасности оценить ее надежность? Некоторые системы по сравнению с другими обеспечивают более высокую степень защиты. Я подключил свой Linux-компьютер к Сети, чтобы изредка обмениваться электронными письмами с близкими, и не собираюсь тратить все свое свободное время на выполнение рекомендаций специалистов по безопасности. Можно ли провести грань между разумными мерами предосторожности и беспечностью, ведущей к самоуничтожению?

В книге я привел расчет стоимости взлома. Эта сумма определяется тем, сколько денег (или времени) придется потратить на проникновение. Если компьютер используется только для обмена электронной почтой и прогулок по Сети, вполне достаточно регулярно менять пароли, отключить ненужные службы и обновлять серверы по мере обнаружения и исправления ошибок в программах. Но что если взломщик пришлет жене письмо от имени несуществующей любовницы мужа или подскажет ребенку адрес сайта, на который тому не следует заходить? Почти все сегодня совершают в Web какие-то покупки, поэтому велика вероятность использования чужой кредитной карты.

Почему вы написали книгу скорее о Linux, чем о Unix? Насколько велика разница между двумя этими системами? Лично мне больше всего нравится OpenBSD, особенно с точки зрения безопасности. Я не вижу особых различий между Linux и другими вариантами Unix. В любом случае я чувствую себя более уверенно с Linux, главным образом благодаря доступности исходного кода.

То, что в названии книги значится только Linux, а не Linux и Unix, объясняется просто: она вышла в ряду публикуемых издательством Prentice Hall замечательных книг, посвященных технологиям программного обеспечения с открытым исходным кодом. Немаловажную роль сыграл и рост популярности самой ОС Linux. Ведь большинство домашних систем относятся именно к этой категории. Много ли людей устанавливают у себя дома Unix? Лично у меня есть подобный опыт, но это не показатель. Очень часто Unix-системы используются для выполнения одной-двух специфичных задач, и обеспечить их безопасность не так уж сложно.

Кроме того, большинство таких систем обслуживаются администраторами высокой квалификации. У многих, очень многих возникает потребность повысить безопасность своей операционной системы Linux, причем большая часть из них перешла на Linux с Windows, а не с Unix. Вот наиболее существенные, на мой взгляд, различия между Unix и Linux.

Поделитесь материалом с коллегами и друзьями