Обзор безопасности
Глава 1. Обзор безопасности
Широкое распространение мощных сетевых компьютеров в сфере делового и личного использования привело к появлению целых отраслей компьютерной и сетевой безопасности. Компании нуждаются в знаниях и умениях экспертов по безопасности для проведения аудита и принятия решений, соответствующих их требованиям. А так как многие компании по своей природе динамичны, и их работники обращаются к информационным ресурсам и локально, и удалённо, необходимость в создании защищённого компьютерного окружения возрастает ещё больше.
К сожалению, во многих компаниях (и у многих обычных пользователей) вопросы безопасности находятся на втором плане, после задач увеличения быстродействия, производительности труда и финансовых вопросов. Необходимые меры безопасности часто принимаются постфактум — когда злонамеренное вторжение уже произошло. Эксперты по безопасности сходятся во мнении, что правильные меры, предпринятые до соединения внутренней сети с открытой сетью (например, Интернетом), пресекают большинство попыток вторжения.
1.1. Что такое компьютерная безопасность?
Компьютерная безопасность — это общее понятие, охватывающее широкую область компьютерных и информационных технологий. В областях, где компьютерные системы и сети ежедневно используются для выполнения бизнес-транзакций и обращений к жизненно-важной информации, данные составляют значимую часть всех активов. Некоторые понятия и оценки прочно вошли в повседневный деловой лексикон, например, полная стоимость владения (TCO) и качество обслуживания (QoS). Эти оценки позволяют оценить целостность данных, высокую степень доступности и другие аспекты с точки зрения затрат на планирование и управление процессами. В некоторых отраслях, например, в электронной коммерции, доступность и доверие к данным может играть решающую роль.
1.1.1. Откуда возникло понятие компьютерной безопасности?
Многие читатели могут вспомнить фильм «Военные игры» (Wargames), с Мэттью Бродериком в главной роли, в котором студент взломал суперкомпьютер министерства обороны (Department of Defense - DoD) США и случайно создал угрозу ядерной войны. В этом фильме герой Бродерика с помощью модема подключался к военному компьютеру (названному WOPR) и играл с программой искусственного интеллекта, управляющей всеми ракетными установками. Фильм был выпущен во времена «холодной войны» между СССР и США в 1983 г. и имел определённый успех. Этот фильм многих вдохновил на реализацию некоторых приёмов, использованных юным главным героем для взлома закрытых систем, в том числе «прозвонки» war dialing — сканирования номеров телефонов с модемами при заданном сочетании кода региона и префикса.
Более чем через 10 десять лет, после четырёхлетнего судебного разбирательства, при участии Федерального Бюро Расследований (ФБР) и компьютерных профессионалов со всей страны, был арестован известный хакер Кевин Митник (Kevin Mitnick). Он был обвинён в 25 преступлениях, связанных с компьютерами и устройствами доступа, и нанесению ущерба в 80 миллионов долларов, вызванным утратой интеллектуальной собственности и исходного кода программ компаний Nokia, NEC, Sun Microsystems, Novell, Fujitsu и Motorola. Тогда ФБР назвало это дело самым крупным делом, связанным с компьютерами, за всю историю США. Он был осуждён и приговорён к 68 месяцам тюремного заключения, из которых провёл 60 и был освобождён досрочно 21 января 2000 г. Но ему по-прежнему было запрещено использовать компьютеры или проводить связанные с ними консультации до 2003 г. Исследователи говорят, что Митник был мастером в социальной инженерии — использовании человеческих слабостей для получения несанкционированного доступа к паролям и системам.
По мере расширения применения открытых сетей для безопасного хранения личной, финансовой и другой закрытой информации все эти годы развивалась и информационная безопасность. Есть множество ярких примеров, например, дела Митника и Владимира Левина (дополнительные сведения вы найдёте в разделе 1.1.2 История компьютерной безопасности), заставляющих самые разные организации задумываться о способе передачи и хранения информации. Во многом именно популярность Интернета вызвала бурное развитие технологий защиты данных.
Число людей, использующих свои персональные компьютеры для получения доступа к ресурсам Интернета, постоянно растёт. Интернет, давший миру от систем поиска информации до электронной почты и электронной коммерции, заслуженно считается одним из важнейших достижений 20 века.
Однако Интернет и ранние протоколы разрабатывались как системы, основанные на доверии. То есть, протокол Интернета (Internet Protocol — IP) изначально разрабатывался незащищённым. В стеке соединения TCP/IP отсутствуют утверждённые стандарты безопасности, что делает его открытым для зловредных пользователей и программ, работающих в сети. Современные разработки сделали взаимодействие через Интернет более безопасным, но всё же целый ряд случаев, вызывающих широкий интерес, говорит о том, что нет ничего абсолютно защищённого.
1.1.2. История компьютерной безопасности
С рождением и развитием компьютерной безопасности связано несколько ключевых событий. Ниже приведена хронология некоторых наиболее значимых событий, заставляющих задуматься о компьютерной и информационной безопасности и её важности в наши дни.
1.1.2.1. 30-ые и 40-ые годы
Польские специалисты по криптографии изобрели в 1918 г. машину Enigma, электромеханическое роторное шифрующее устройство, преобразующее открытый текст в зашифрованный. Хотя устройство изначально создавалось для защиты финансовых данных, во время второй мировой войны немецкие военные увидели в нём потенциал для защиты передаваемых данных. Гениальный математик Алан Тюринг (Alan Turing) разработал способ взлома кодов Enigma, что позволило вооружённым силам союзников разработать Colossus, машину, в заслугу которой американцы часто ставят раннее завершение войны.
1.1.2.2. Шестидесятые
Студенты Массачусетского технологического института (MIT) образуют клуб железнодорожного моделирования (Tech Model Railroad Club — TMRC), где они начинают исследовать и программировать компьютерную систему PDP-1. В этом клубе слово «хакер» (hacker) и прозвучало в современном контексте.
Министерство обороны создаёт компьютерную сеть агентства по передовым научно-исследовательским проектам (Advanced Research Projects Agency Network, ARPANet), ставшую популярным в научных и академических кругах средством обмена данными и информацией в электронном виде. Она проложила дорогу к созданию сети, известной сегодня как Интернет.
Кен Томпсон (Ken Thompson) разрабатывает операционную систему UNIX, прозванную «хакерской» за наличие средств разработки и компиляторов, да и поддерживали её в основном именно хакеры. И примерно в то же время Дэннис Ритчи (Dennis Ritchie) разрабатывает язык программирования C, несомненно, самый популярный язык хакеров за всё историю компьютеров.
1.1.2.3. Семидесятые
Болт (Bolt), Беранек (Beranek) и Ньюмэн (Newman), занимающиеся компьютерными исследованиями для правительства и промышленности, разрабатывают протокол Telnet — открытое расширение ARPANet. Это позволило начать общественное использование сетей, ранее доступных только избранным госслужащим и учёным. Хотя, по мнению многих экспертов по безопасности Telnet также является наиболее незащищённым протоколом для открытых сетей.
Стив Джобс (Steve Jobs) и Стив Возняк (Steve Wozniak) создают компьютер Apple и начинают продвижение персонального компьютера (PC). Именно этот компьютер стал своего рода трамплином, с которого многие нечистые на руку пользователи начали изучение техники взлома с помощью распространённого оборудования: аналоговых модемов и сканеров телефонных номеров.
Джим Эллис (Jim Ellis) и Том Траскотт (Tom Truscott) создают USENET — систему связи пользователей, своего рода электронную доску объявлений. Сеть USENET быстро становится одним из самых популярных форумов, где люди обмениваются идеями о компьютерах, сетях, и, конечно, их взломе.
1.1.2.4. Восьмидесятые
IBM разрабатывает и выпускает на рынок персональные компьютеры на базе процессора Intel 8086, которые благодаря сравнительно невысокой цене оказываются не только в офисах, но и дома. Это послужило признанию PC как распространённого и доступного средства, достаточно мощного и лёгкого в использовании, и проникновению этих компьютеров в дома и офисы, в том числе и злонамеренных пользователей.
Протокол управления передачей (Transmission Control Protocol — TCP), разработанный Винтом Серфом (Vint Cerf), разделён на две отдельные части. В результате разделения получается протокол Интернета (Internet Protocol — IP), а объединённый протокол TCP/IP стал современным стандартом связи в Интернете.
Создаётся журнал, посвящённый разработкам в области телефонного мошенничества (исследование и взлом телефонных систем), «2600: The Hacker Quarterly», в котором начинается широкое обсуждение взлома компьютеров и компьютерных сетей.
Арестована банда 414 (названная по коду региона, в котором она действовала), взломавшая в течение девятидневной серии атак даже совершенно секретные системы, в том числе Лос-Аламосскую национальную лабораторию ядерных исследований.
Появляются первые объединения взломщиков, занимающихся поиском уязвимостей в компьютерных и электронных сетях данных — группы «Legion of Doom» и «Chaos Computer Club».
В 1986 конгресс США принимает «Акт о компьютерном мошенничестве и злоупотреблениях», причиной этому, в частности, послужили действия Иана Мерфи, также известного как Captain Zap, который взламывал военные компьютеры, похищал информацию из базы данных заказов компаний и звонил по телефону через правительственные каналы связи.
Опираясь на этот закон, суд обвинил аспиранта университета Роберта Морриса (Robert Morris), создавшего сетевого червя, и заразившего им более 6000 компьютеров, подключенных к Интернету. Ещё одним громким делом, когда был применён этот закон, было дело бросившего школу Герберта Зинна (Herbert Zinn), взломавшего системы компании AT&T и Минобороны.
С целью предотвратить повторение ситуации с червём Морриса, создаётся Центр Реагирования на Компьютерные Инциденты (Computer Emergency Response Team — CERT), призванный уведомлять пользователей о важных проблемах безопасности.
Клиффорд Столл пишет детективный роман The Cuckoo's Egg («Яйцо кукушки, или Преследуя шпиона в компьютерном лабиринте». «ИЦ-Гарант», М., 1996.), в котором описывает поиск взломщика собственной системы.
1.1.2.5. Девяностые
ARPANet «уходит в отставку». Трафик этой сети переходит в Интернет.
Линус Торвальдс (Linus Torvalds) создаёт ядро Linux для использования с операционной системой GNU; масштабная разработка и внедрение Linux осуществляется во многом благодаря Интернету, как средству совместной работы пользователей и программистов. Так как система Linux выросла из UNIX, она становится популярной среди хакеров и администраторов, понявших, что она может быть достойной заменой коммерческим операционным системам (с закрытыми исходными кодами).
Создаётся графический веб-браузер, который порождает экспоненциально растущий спрос на доступ к Интернету.
Владимир Левин с сообщниками незаконно переводит 10 миллионов долларов на различные счета, взломав центральную базу данных CitiBank. Левин арестован Интерполом, почти все деньги найдены.
Возможно, самым титулованным из всех взломщиков является Кевин Митник, взламывавший различные корпоративные системы, похищавший самую разную информацию — от дат рождения до более чем 20000 номеров кредитных карточек и закрытых исходных кодов программ. Он был арестован, обвинён в электронном мошенничестве и провёл 5 лет за решёткой.
Кевин Полсен (Kevin Poulsen) и его неизвестные сообщники блокируют телефонную систему радиостанции и выигрывают в викторине машины и денежные призы. Он обвинён в компьютерном мошенничестве и приговорён к 5 годам тюрьмы.
Истории о взломе и компьютерном мошенничестве становятся легендами, а взломщики собираются на ежегодной ассамблее DefCon, где они хвалятся своими достижениями и обмениваются идеями.
За неоднократный взлом правительственных систем США во время персидского конфликта арестован и осуждён 19-летний израильский студент. Военные назвали его атаки «самыми организованными и систематическими атаками» на государственные компьютеры за всю историю США.
Министр юстиции США Джанет Рено (Janet Reno), в ответ на продолжающиеся взломы системы безопасности в госструктурах, учреждает центр защиты национальной инфраструктуры (National Infrastructure Protection Center).
Неизвестные преступники захватывают британские спутники связи и требуют выкуп. В конце концов, британское правительство смогло вернуть управление спутниками.
1.1.3. Безопасность сегодня
В феврале 2000 г. производится распределённая атака типа отказ в обслуживании (DDoS — Distributed Denial of Service), поразившая наиболее загруженные сайты Интернета. Атака, на несколько часов сковавшая маршрутизаторы большими пакетами ICMP (что также называется наводнением пакетами ping), привела к недоступности для обычных пользователей сайтов yahoo.com, cnn.com, amazon.com, fbi.gov и некоторых других. Атака была произведена неизвестными нападающими с помощью специально созданных и быстро распространяющихся программ, сканирующих уязвимые сетевые сервера, устанавливающих на этих серверах троянских коней, и набрасывающихся в заданное время на сайты-жертвы. Многие считают причиной этой атаки принципиальные недостатки маршрутизаторов и используемых протоколов, рассчитанных на обработку всех входящих данных, вне зависимости от того кем, куда, и зачем передаются пакеты.
С этого началось новое тысячелетие, когда количество пользователей Интернета по всему миру достигло примерно 945 миллионов человек (по данным алманаха компьютерной отрасли, 2004 г.). И в то же время:
В среднем центр координации CERT университета Карнеги Меллон принимает в день около 225 сообщений о существенных нарушениях безопасности. [1]
В 2003 г. число поступающих в CERT сообщений об инцидентах выросло до 137 529, с 82 094 в 2002 и 52658 в 2001 г..[2]
Ущерб, нанесённый тремя наиболее опасными сетевыми вирусами за последние три года, оценивается в 13.2 миллиарда долларов.[3]
Компьютерная безопасность стала значимой и оправдывающей себя статьёй любого бюджета ИТ. Компании, нуждающиеся в целостности данных и высокой степени доступности, приглашают администраторов, разработчиков и инженеров, чтобы обеспечить надёжность своих систем, служб и информации в режиме 24x7. Стать жертвой злонамеренных пользователей, программ или скоординированных атак — прямая угроза успеху компании.
К сожалению, план по компьютерной и сетевой безопасности может быть весьма сложным, а для его создания требуются исчерпывающие сведений о том, как организация использует, обрабатывает и передаёт информацию. Понимание принципов ведения бизнеса конкретной компанией (и работающими в ней людьми) крайне важно для реализации верного плана безопасности.
1.1.4. Стандартизация безопасности
Предприятия любой отрасли опираются на положения и правила, установленные утверждающими стандарты организациями, например, AMA (American Medical Association — Американская медицинская ассоциация) или IEEE (Institute of Electrical and Electronics Engineers — Институт инженеров по электротехнике и электронике). Подобные идеалы есть и в информационной безопасности. Многие эксперты по безопасности и разработчики опираются на стандартную модель безопасности — CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эта модель из трёх составляющих является общепризнанной при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности. Ниже модель CIA описана более подробно:
Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц. Неправомерная передача и использование информации должны быть запрещены. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи личности или использования чужой кредитной карточки.
Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены. Неавторизованные пользователи не должны иметь возможность изменять или разрушать важную информацию.
Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность — это гарантия того, что информацию можно получать в оговорённом временном интервале. Часто этот интервал определяется в процентах и оговаривается в договоре поддержки, заключаемом между провайдерами сетевой службы и их клиентами.
Замечания
| [1] | Источник: http://www.cert.org |
| [2] | Источник: http://www.cert.org/stats/ |
| [3] |