Критики отрасли безопасности не акцентируют тот факт, что на безопасности ИТ зарабатываются (слишком) хорошие деньги. Под их прицел попадают, скорее, дырявые защитные концепции. Брюс Поттер любит называть вещи своими именами, хотя знает, что друзей от этого больше не становится. В прошлом году на хакерской конференции Defcon, проходящей в Лас-Вегасе, известном всем игорном раю, эксперт представил широкой публике свои провокационные обобщения под заголовком «Грязные секреты отрасли безопасности» («The Dirty Secrets of the Security Industry»). Потоковое видео этого события до сих пор доступно на Google (см. врезку «Ресурсы Internet»).
Стараясь предвосхитить возможные возражения, основатель некоммерческой организации Shmoo Group предпочитает предупреждать публику в самом начале своих вступлений. «Многие слушатели будут не согласны с большей частью моей презентации. Так что не стесняйтесь, первыми бросьте в меня камень», — обычно говорит Поттер. В конце концов, при лобовой критике рыночных механизмов речь идет только о его собственном мнении.
ПЛОХИЕ КОДЫ ДО СИХ ПОР СУЩЕСТВУЮТ
Брюс Поттер говорит о том, что конец эпохи брандмауэров хоть и обозначил переход к «глубокой обороне» (Defense in Depth), но расширенная сетевая защита никогда не обладала достаточными возможностями, чтобы контролировать все проблемы глобализованного трафика данных с помощью таких элементов, как обнаружение вторжений (Intrusion Detection), антивирусная защита и антиспам.
Даже многофакторная аутентификация не способна обеспечить приемлемый уровень защиты. «До сих пор существуют плохие коды», —
подчеркивает эксперт. В настоящее время он критикует, главным образом, активно пропагандируемые и продвигаемые сервис-ориентированные архитектуры (Service-Oriented Architecture, SOA). С помощью брандмауэров на базе XML и однократной регистрации (Single Sign-On) практически невозможно исключить вредоносный код.
«В первую очередь нам необходим улучшенный программный контроль за системами, а не усовершенствованные брандмауэры, позволяющие устранить лишь очевидные опасности», — указывает Поттер, являющийся соучредителем консалтинговой компании Ponte Technologies. Однако это требование не так уж ново. К тому же, едва ли справедливо сваливать ответственность за все возможные дыры в системах и продуктах ИТ на производителей средств защиты.
Радикальнее всего эту отрасль осуждает Брюс Шнейер, гуру безопасности, который упразднил бы ее вовсе, будь на то его воля. Как правило, самые настойчивые обвинители требуют не только обеспечить надежность разработки ПО, но и сделать производителей ПО ответственными за ошибки проектирования. Полностью защищенный жизненный цикл аппаратного или программного обеспечения — это, пожалуй, такой же миф, как и попытка добиться должного уровня безопасности с помощью сетевых механизмов.
Споры о разделении ответственности между различными игроками в отрасли ИТ ни к чему не приведут. Однако сегодня критика исходит как из рядов сторонников открытых исходных кодов (Open Source), то есть извне, так и от представителей самой группы. И это при том, что на ближайшие годы эксперты прогнозируют на одном только рынке сетевой безопасности оборот в 7 млрд евро.
Получается, что сытые времена для специалистов по безопасности ИТ скоро закончатся? По крайней мере, об этом задумался и Рэймунд Гинес, главный технический директор в области средств по борьбе с вредоносными программами (Anti-Malware) компании Trend Micro. Атакующие всегда идут на шаг впереди, а идеальное решение безопасности практически недостижимо. «Самозащищающаяся сеть — дело далекого будущего, — считает Гинес. — Сложно сказать, удастся ли когда-нибудь реализовать эту идею, ведь отрасль вредоносных программ тоже не дремлет».
Понятие «самозащищающейся сети» использует главным образом Cisco, оно было предложено, когда еще возникали глобальные эпидемии вирусов и червей. В современном мире преобладают скрытые, целенаправленные и весьма эффективные атаки.
NAC — ВЧЕРАШНИЙ ДЕНЬ
Как вспоминает Гинес, на первом этапе глобальных эпидемий червей и вирусов сетевые специалисты пытались справиться с ситуацией с помощью контроля доступа к сети, к примеру, Network Admission Control (NAC). При таком подходе в сеть допускались лишь доверенные компьютеры.
Философия безопасности ИТ до сих пор делает акцент на то, что все корпоративные системы известны и снабжены последними версиями системных обновлений, антивирусных технологий и сигнатур. Вместе с системой распознавания аномалий на конечном устройстве такая концепция должна обеспечить абсолютную безопасность. Этот подход, пропагандируемый в прошлые годы ведущими игроками рынка ИТ, помогал в управлении системой и администрировании конечных устройств.
Однако проверка последних обновлений ПО и средств безопасности не показывает известные слабые места системы, то есть, непонятно, подвержена ли система инфекции или она уже инфицирована. По мнению Гинеса, причина в том, что «неизвестные слабые места системы сегодня не сообщаются производителю, а продаются через Internet тому, кто за них больше заплатит». Следовательно, конечное устройство нельзя проверить на наличие неизвестных слабых мест системы или вредоносных программ. Эксперт разъясняет: «Такая возможность, конечно, есть, но, как правило, это приводит к слишком большому количеству ложных тревог».
«Безопасность должна превратиться из продукта в услугу», — дополняет Микко Хиппонен, директор по исследованиям компании F-Secure. В своем выступлении на IT Defense она даже высказала опасения, что ввиду угрожающего перевеса «темных сил» Internet технологий защиты вынуждены будут капитулировать: «В отличие от линии обороны, атакующие изолируют свою одноранговую коммуникацию (Peer-to-Peer) от окружающего мира с помощью шифрования, поэтому у Гидры нет головы, которую можно было бы отрубить».
ПАФОС И МАРКЕТИНГ СТРАХА
Однако эксперт оставил открытым вопрос о том, каким конкретно может быть выход из этой дилеммы. В конце концов, отрасль распространяет в первую очередь продукты, включающие дополнительные услуги. Одна из ключевых проблем — тот пафос, который поддерживался на протяжении многих лет. На профессиональном жаргоне бизнес на страхе обозначается как Fear, Uncertainty and Doubt (FUD), что можно перевести приблизительно как «целенаправленное распространение страха, неуверенности и сомнений».
Именно это служит предпосылкой того, что многие протагонис-ты любят сознательно сообщать общественности полуправду или вообще ложную информацию. Так, осведомленные круги часто удивляются тому, что одни производители активно предупреждают о появлении крайне опасного вредителя, к примеру, мобильного вируса, передаваемого через Bluetooth, а их конкуренты в это же время дают отбой тревоги.
Получается, что предприятиям самим приходится использовать собственные оценочные матрицы, чтобы правильно масштабировать защиту. Таким образом, основная проблема заключается не в «грязных секретах отрасли безопасности», разглашаемых экспертами вроде Брюса Поттера, а в пропасти между возможностями нападения и защиты, что вызывает у пользователей чувство неуверенности, которым многие активно злоупотребляют.
УПРАВЛЕНИЕ РИСКАМИ
Так попадают ли действительно серьезные угрозы в поле зрения систем выявления рисков? О том, что такое настоящий кризис, Штефан Шлентрих знает не понаслышке. Будучи официальным репортером общественно-правовых вещательных станций, он пережил бессчетное множество политических кризисов, и среди прочего — недавнюю войну в Ираке, где он оказался последним немецким репортером, покинувшим Багдад.
Некоторое время назад Шлентрих сменил работу и взял на себя руководство трансферным центром Communication, Safety & Security (CSS) компании Штайнбайс. Он консультирует немецкие и международные предприятия по вопросам кризисного управления и кризисной коммуникации. На IT Defense он также попытался высказать свое мнение о бурной активности в отрасли ИТ.
По словам Шлентриха, в телерадиовещательной компании ARD более трех четвертей бюджета, выделяемого на обеспечение безопасности, тратится на ИТ. Тем не менее, это не гарантирует действительно эффективной борьбы с угрозами. «Утечка знаний по вине сотрудников — гораздо большая проблема, чем ИТ», — уверен он. Однако Шлентрих знает, что слабые места, именуемые «внутренними угрозами» (Insider Threat), вряд ли можно ликвидировать с помощью простых разъяснительных и привлекающих всеобщее внимание кампаний.
Джон Виега, в прошлом году занявший пост главного архитектора систем безопасности у американского производителя McAfee, предпочитает опираться на жесткие факты и сразу перечисляет 19 смертных грехов разработки ПО. С точки зрения экспертов, хуже всего понимаются именно те механизмы внутренних угроз, которые могут стать причиной атак с применением незаконного посредника (Man in the Middle) или позволят взламывать пароли.
ХАЛАТНОЕ ОБРАЩЕНИЕ С SSL
Кроме этого, по мнению Джона Виеги, у тех, кто отслеживает риски, отсутствует чутье на действительно существующие угрозы. Именно халатное обращение с SSL лучше всего демонстрирует серьезные недочеты предприятий. «Часто создается лишь видимость того, что шифрование SSL функционирует», — утверждает Виега. В итоге недействительные и бесполезные сертификаты создают новые трудности, вместо того чтобы устранять пробелы. Критик негодует: «Сертификаты VeriSign приносят много денег, но мало пользы». Он не щадит и производителей ПО для обеспечения безопасности: при неадекватном использовании SSL они не в состоянии оказать эффективную помощь. Поэтому главный вызов бросается гильдии разработчиков. Виега призывает их отказаться от излишнего внимания к деталям и сконцентрироваться на беспроблемном внедрении SSL и разработке более удобных продуктов.
Нет никаких гарантий, что пользователь действительно будет применять шифруемую коммуникацию: «Сертификат может быть не от сервера, а от невидимой третьей стороны, которая производит замену и подсовывает собственный сертификат». По мнению Джона Виеги, весьма полезны будут всесторонние тестовые процедуры для SSL на базе HTTPS. Эксперт отмечает еще множество других важных моментов, нуждающихся в доработке. К примеру, успешная атака на переполнение буфера (Buffer Overflow) на базе C/C++ способна повлечь за собой серьезные последствия, если атакующий извне получит контроль над компьютером через программы Java. С помощью инъекции SQL хакеру удастся не только просматривать данные, но и контролировать доступ.
К высказываниям предметных критиков присоединяется Маркус Ранум, один из изобретателей и «крестных отцов» брандмауэров, который тоже не сдерживает свои радикальные комментарии: классические концепции брандмауэров окончательно устарели. Все чаще универсальные брандмауэры с многократным последовательным подключением оказываются не в состоянии создать всестороннюю оборону. Однако Ранум не говорит, как должна выглядеть линия защиты в будущем.
Кроме того, он уже не делает никакого различия между программным гигантом из Рэдмонда и так называемой «свободной сценой». Microsoft создала моду на универсальную монокультуру ИТ, из-за чего сложные и одномерные системы ИТ с их многочисленными элементами вроде маршрутизаторов, брандмауэров, компьютеров и фильтров теперь только запутывают пользователей. Однако сообщество сторонников открытого кода совершенно добровольно следует за новой путеводной звездой универсальной монокультуры ИТ.
Поэтому мало удивляет тот факт, что количество ошибок, критичных для безопасности, все увеличивается. С публикацией ошибок «нулевого дня» (Zero-Day Bugs) нападающие, ведомые финансовыми мотивами, все сильнее зажимают производителей в тиски. «До сих пор ведутся дискуссии о том, допустима ли публикация критичных для безопасности дыр, если производители заранее не проинформированы, а в это время некоторые взломщики заставляют их вступить в гонку с разработчиками кодов атаки (Exploit Code)», — таков трезвый вывод Дирка Фокса, руководителя Secorvo Security Consulting.
Лотар Лохмайер — независимый журналист, пишущий на темы ИТ.
© AWi Verlag
Ресурсы Internet
Доклад Брюса Поттера в Internet можно посмотреть по адресу: http://video.google.de/videoplay?docid=-4408250627226363306&q=Bruce+Potter+defcon&total=1&start=0&num=10&so=0&type=search&plindex=0
Страница некоммерческой организации Shmoo Group: http://www.shmoo.com
Еще больше примеров жесткой критики Брюса Шнайдера можно найти на микросайте LANline, где находится немецкая версия его новостной рассылки «Cryptogram»: http://microsite.lanline.de/bruce-schneier.