Глубина сканирования
Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
Безопасность и Internet
Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной
реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со
специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий
proxy.
Guardian управляется специальной программой контроля, допускающей
использование команд: THROTTLE (остановить), RELEASE (продолжить работу),
RECONFIGURE (перечитать файл конфигурации).
Guardian стартует при первоначальном запуске системы и должен управляться
только через вышеописанный интерфейс.
Характеристика направлений и групп методов обнаружения вторжений
Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений []. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.
Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.
Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)
Моделирование правил | W&S | Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии. |
Описательная статистика | IDES, NIDES, EMERLAND, JiNao, HayStack | Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико. |
Нейронные сети | Hyperview | Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии. |
Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)
Моделирование множества состояний | DPEM, JANUS, Bro | Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы. |
Описательная статистика | MIDAS, NADIR, Haystack, NSM | Аналогичен соответствующему методу в контролируемом обучении. |
Моделирование состояний | USTAT, IDIOT | Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события. |
Экспертные системы | NIDES, EMERLAND, MIDAS, DIDS | Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы. |
Моделирование правил | NADIR, HayStack, JiNao, ASAX, Bro | Простой вариант экспертных систем. |
Синтаксический анализ | NSM | Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса. |
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.
Июль
Два жителя Бруклина были
арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих
автомобилистов. По словам сотрудников секретных служб, это крупнейшая
кража такого рода в истории США. Если бы эти номера удалось реализовать
на черном рынке, ущерб от незаконно использованных телефонных
услуг составил около 80 миллионов долларов (AP, 2 июля).
В июльском выпуске бюллетеня
"Health Letter" сообщается, что аналоговые сотовые телефоны
вызывают "минимальную интерференцию" в течение 3% времени
своей работы, тогда как все цифровые телефоны демонстрируют заметный
уровень интерференции с устройствами, задающими частоту сокращения
сердечной мышцы. ().
Потерпев впечатляющую
неудачу в контроле качества продуктов для других стран, корпорация
Microsoft вынуждена была принести извинения за испаноязычный электронный
словарь, распространявшийся в Мексике. Словарь предоставлял непристойные
синонимы многих слов и вызвал политический скандал. (6 июля).
35-летний компьютерный
оператор нанес своему работодателю, компании Thorn UK, ущерб в
размере более полумиллиона фунтов. Оператор, в знак недовольства
начальником, скрытно отсоединил несколько кабелей от миникомпьютера
AS/400. Адвокат пытался доказать, что его подзащитный сошел с
ума от напряжения, вызванного постоянным чередованием работы с
дневную и ночную смены. После отключения кабелей компьютерная
система стала периодически зависать, пока дорогостоящий специалист,
прилетевший из США, не обнаружил проявления саботажа. Оператора
приговорили к году тюремного заключения. (PA News, 9 июля).
Полиция предупредила путешественников
о необходимости защищать свои лэптопы от краж в аэропортах. Обычный
сценарий кражи таков. Два вора дожидаются, когда их жертва поставит
лэптоп на ленту транспортера устройства просвечивания. Компьютер
начинает движение через сканер, а в это время воры влезают в очередь
перед хозяином лэптопа. Один быстро проходит контрольный пункт,
а другой, намеренно набравший в карманы всяких железяк, задерживает
всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший
из устройства просвечивания переносной компьютер и исчезает. ("Wall
Street Journal", 9 июля).
В августовском номере
Windows Magazine сообщается, что многие Web-серверы не защищены
от вторжений, совершаемых с помощью обычных программ-навигаторов.
Используя стандартные средства поиска в WWW, исследователи обнаружили,
что многие серверы предоставляют неограниченный доступ к своим
файлам на чтение и даже на запись. (Более подробную информацию
можно найти по адресу ).
Национальная ассоциация
кабельного телевидения США объявила о своем намерении предоставить
кабельное хозяйство для высокоскоростного доступа в Интернет для
95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких
свидетельств, что программа включает в себя какие-либо элементы
обучения детей и учителей, которые получат доступ к Интернет.
Будем надеяться, что школьникам хотя бы разъяснят основные этические
нормы, ведь результатом всеобщего неведения может стать новое
поколение криминальных хакеров.
Сингапур пополнил список
правительств, пытающихся препятствовать свободному информационному
обмену с остальным миром. Новые правила лицензирования ставят
поставщиков Интернет-услуг под строгий контроль, обязывая их по
возможности блокировать антиправительственные и порнографические
материалы. Компетентные органы, однако, настойчиво отрицают наличие
какой бы то ни было цензуры; по их словам, они просто просят лицензиатов
об ответственном поведении. (AP, 11 июля). В течение недели одна
из компаний-поставщиков закрыла доступ к телеконференции Usenet,
в которой житель Сингапура покритиковал авторитетную сингапурскую
юридическую фирму. (AP, 19 июля). Агентский сервер китайского
правительства начал функционировать в конце августа; в сентябре
его ввели в промышленную эксплуатацию. В конце сентября в Бирме
запретили использование модемов и факс-машин.
Старшеклассники из Сан-Франциско
проникли в офисную АТС местной производственной компании и атаковали
ее систему голосовой почты. Они удалили информацию, изменили пароли,
завели новые счета для собственного использования и в конце концов
развалили систему, перегрузив ее. Компания потратила 40 тысяч
долларов на техническую поддержку, осуществляемую внешним специалистом.
("San Francisco Chronicle", 10 июля 1996 года, с. A13;
).
В середине июля корпорация
General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile
и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном
обеспечении двигателя могла привести к пожару. ().
Одна студентка потеряла
драгоценную стипендию в 18 тысяч долларов в Мичиганском университете
из-за того, что ее соседка по комнате воспользовалась их общим
входным именем и отправила от имени своей жертвы электронное письмо
с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка
созналась в своем поступке, заплатила крупный штраф, а университет
восстановил пострадавшую студентку в правах.
Компания Dataquest опубликовала
прогноз, согласно которому объем мирового рынка информационной
безопасности за период с 1996 по 2000 год более чем удвоится и
составит в денежном выражении 13.1 миллиарда долларов (в 1996
году - 5.9 миллиарда).
По сообщению специалистов
компании McAfee, в июле был открыт первый в мире макровирус для
Excel, названный "Laroux". Компания тут же выпустила
антивирусную программу. По-видимому, этот вирус не содержит разрушительной
"начинки".
22 июля фондовая биржа
в Иоханнесбурге прервала работу во второй раз за последние две
недели (10 июля было установлено новое программное обеспечение).
Причина - плохой контроль качества программ. (). В
середине октября Каирская фондовая биржа столкнулась с проблемами
в недавно установленном программном обеспечении. После аварии
системы биржевые цены и объем торгов значительно упали (Reuters,
16 октября). В декабре фондовая биржа в Гонконге испытала падение
акций на 1% при объеме торгов в 1 миллиард долларов, когда система
автоматического сопоставления и исполнения заявок выдала ложное
сообщение о снижении на 4% индекса Hang Seng (это основной показатель
на данной бирже). Ошибочные данные вызвали панические продажи,
продолжавшиеся около 20 минут. ().
24 июля в Комитет по торговле
Сената США поступил законопроект 1726 - "Поддержка онлайновой
коммерции в цифровой век" (Promotion of Commerce Online in
the Digital Era Act, известный также под названием "pro-code").
Этот законопроект должен отменить большинство экспортных ограничений
и запретить обязательное восстановление ключей. В сентябре слушания
по законопроекту не состоялись.
В подпольном мире состоялся
крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали
также некриминальные элементы, заинтересованные в информационной
безопасности. Среди докладчиков была Netta Gilboa, издатель журнала
"Gray Areas Magazine". В свое время у нее нашел убежище
юный беглец Christopher Schanot. Ее выступление постоянно перебивали
и в конце концов вырвали презентационные материалы у нее из рук.
Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.
Июнь
Правительство Вьетнама
опубликовала новые законы о контроле доступа к Интернет, закрыв
все сервисы, представляющие угрозу национальным интересам. (AP,
4 июня).
В газете "London
Times" от 3 июня сообщается, что хакерам было выплачено 400
миллионов фунтов стерлингов в качестве отступного за обещание
не поднимать шума. Хакеры осуществили электронное проникновение
в ряд банков, брокерских контор и инвестиционных компаний Лондона
и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить
требования вымогателей, поскольку огласка случаев электронного
взлома могла бы поколебать уверенность клиентов в безопасности
банковских систем.
Средства массовой информации
советуют администрации Клинтона сформировать группу обеспечения
кибербезопасности для определения национальных интересов при защите
от информационного оружия. ("USA Today", 5 июня).
В Питсбурге трехлетний
малыш получил извещение о необходимости уплатить 219495 долларов
подоходного налога. Родители мальчика пережили немало тяжелых
минут, доказывая, что произошла ошибка. ("Но мой компьютер
говорит...".)
На слушаниях в постоянном
сенатском подкомитете по исследованиям адвокат Dan Gelber привел
данные неназванной исследовательской фирмы. Согласно этим данным,
общемировые потери в секторе коммерческих и финансовых услуг составили
за год около 800 миллионов долларов. Более половины потерь приходится
на долю американских компаний. ("Wall Street Journal",
6 июня).
Содержите компьютеры в
чистоте! Как свидетельствует доклад, опубликованный в Швеции,
сочетание пыли и статического электричества приводит к росту числа
кожных раздражений у пользователей компьютерных терминалов. ().
Британская компания Davy
International возбудила иск о промышленном шпионаже против австралийской
фирмы VA Technologie AG. По постановлению суда истец получил документы
общим объемом 2000 страниц и компьютерные диски, содержащие информацию,
принадлежащую Davy International; все это было изъято у ответчика.
VA Technologie решительно отвергла обвинения в свой адрес (Dow
Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная
фирма Kvaerner ASA (родительская компания Davy) присоединилась
к процессу против VA. Недолго думая, VA Technologie возбудила
встречный иск против своих обвинителей. (Dow Jones, 21 июня).
Телезрители чикагского
региона были поражены, когда вместо знакомой (весьма, кстати сказать,
слащавой) телеигры Jeopardy, в которой три участника дают ответы
в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось,
что из-за технической неисправности компания Continental Cablevision
10 минут транслировала Playboy Channel на частотах, выделенных
для телеигры. ().
Компания Lexis-Nexis,
предоставляющая информационные услуги, отреагировала на шквал
критики, в особенности от пользователей Интернет. В набор персональных
сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал
включаться номер социального страхования. Однако, после тысяч
телефонных звонков по поводу ложной информации, циркулирующей
в Интернет, попавшая буквально в осаду компания предложила средства
для удаления неправильных записей из базы данных. (AP, 13 июня;
UPI, 20 сентября).
Министр юстиции США Janet
Reno поддержала идею составных ключей для криптостойких средств,
но предложила, чтобы в качестве хранителей ключей выступали частные
организации, а не правительственные агентства.
Секретные службы США объявили
об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба
на сумму более 7 миллионов долларов в результате махинаций с сотовой
связью (Reuters, 18 июня). Практически одновременно AT&T Wireless
Services начала трехмесячную просветительскую компанию с размещением
информации в вагонах Нью-Йоркской подземки, на почтовых открытках
и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы
сотовой связи имеют возможность отслеживать украденные телефоны.
Еще об одном подозрении
в промышленном шпионаже. Американское отделение немецкой фармацевтической
фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение
компании Johnson & Johnson, производящее продукты для диабетиков,
в поощрении промышленного шпионажа. Основанием для обвинения послужило
присуждение премий "Inspector Clouseau" и "Columbo"
сотрудникам, добывшим наибольшее количество сведений о конкурентах.
(AP, 19 июня).
В середине июня крупная
компания-поставщик Интернет-услуг Netcom допустила 13-часовой
перерыв в работе, результатом которого стало массовое негодование
клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters,
21 июня; ). Днем позже система электронной почты в
сети America Online была на час выведена из строя из-за ошибки
в новом программном обеспечении. Остроумные комментаторы тут же
переименовали сервис в "America Offline". В августе
сеть America Online не работала 19 часов.
В Британии Mathew Bevan
и Richard Pryce были обвинены в заговоре с целью получения несанкционированного
доступа к компьютерам и внесения несанкционированных модификаций
в компьютеры. Им приписывают вторжения в компьютерные системы
армии США и ракетно-космического концерна Lockheed. (PA News,
23 июня).
Подданный Аргентины Guillermo
Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения
в федеральной тюрьме. Гильермо сознался в том, что он отправил
видеокассеты с описанием технологии производства Intel-микросхем
в адрес компании AMD, одного из главных конкурентов Intel. Представители
AMD немедленно уведомили полицию о присланном "подарке",
и это позволило задержать промышленного шпиона. (Reuters, 24 июня).
Директор ЦРУ John Deutch
предостерег Конгресс о том, что США сталкиваются с растущей угрозой
атак против компьютерных сетей. Эти киберпространственные атаки
могут быть инициированы другими странами и террористами.
В городе Леония (штат
Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании
фальсифицированных номеров кредитных карт для кражи компьютерного
оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор
номеров кредитных карт, взятый им в Интернет, и случайно создал
номер кредитной карты. числившейся в списке украденных. (Reuters,
29 июня).
В июньском выпуске бюллетеня
"Health Letter", издаваемого Public Citizen Health Research
Group, рассказывается о влиянии радиочастотных помех на медицинские
устройства. Такие помехи не давали пневмо-монитору извещать персонал
больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор
направлял импульс здоровому сердцу. Электрические устройства интерферировали
с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам
оказались имплантированные устройства, задающие частоту сокращения
сердечной мышцы. ().
Один пункт в июньском
докладе группы NCSA IS/Recon представляет особый интерес. Приведем
его полностью.
- излюбленные цели начинающих хакеров
Источник: IS/Recon
Дата: июнь 1996
Достоверность: высокая
Группа IS/Recon обратила
внимание на то, что компьютерные системы публичных библиотек стали
излюбленным объектом атак со стороны начинающих хакеров. Использование
этих систем "квалифицированными" хакерами также вероятно,
хотя они сообщают об этом реже, чем их младшие коллеги. Несколько
подпольных источников IS/Recon недавно опубликовали процедуры
атак на DYNIX - вариант ОС Unix, используемый во многих американских
школах и библиотеках.
После того, как члены
группы IS/Recon недавно ликвидировали последствия атаки шайки
хакеров на компьютерную систему небольшой компании-поставщика
Интернет-услуг, они выяснили, что эта шайка систематически вторгалась
в сети публичных библиотек штата. Примерно в это же время члены
группы IS/Recon проводили обследование компании, расположенной
в том же штате, на предмет ее информационной безопасности. Оказалось,
что в учебном центре компании имеется терминал, связанный с библиотечной
сетью.
Группа IS/Recon рекомендует,
чтобы компании, располагающие подключениями к сетям публичных
библиотек, изолировали их "воздушной прокладкой" от
остальной части своей корпоративной сети.
Имеется ли технология обнаружения атак, которая предпочтительней других?
Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.
Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.
Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.
Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.
Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.
"Имитация атак" (exploit check)
Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении.
Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.
Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.
Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.
Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").
Информация о некоторых первоисточниках
Новостийные статьи обычно
разыскивались через сервис Executive News Service (ENS) сети CompuServe.
Информация о сервисе Edupage
Дайджесты Edupage пишут
John Gehl <> и Suzanne Douglas <>.
Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая
поддержка осуществляется службой информационных технологий университета
штата Северная Каролина. Чтобы подписаться на Edupage, направьте
электронное сообщение по адресу:
В теле сообщения напишите:
subscribe edupage Benjamin Disraeli
(если Вас зовут Бенджамин
Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы
отказаться от подписки, направьте по вышеуказанному адресу текст
unsubscribe edupage
Если у Вас возникли проблемы
с подпиской, пишите по адресу:
Архивы и переводы. Дайджесты
Edupage переводятся на китайский, французский, немецкий, греческий,
иврит, венгерский, итальянский, корейский, литовский, португальский,
румынский, словацкий и испанский. Переводы и архивы можно найти
на Web-сервере
Чтобы получить информацию
о подписке на переводную версию Edupage, направьте письмо по адресу:
Educom - преобразуем образование
посредством информационных технологий.
Информация о телеконференции
RISKS
Дата: 15 августа 1996
года (дата последних изменений)
От: RISKS-request@csl.sri.com
Тема: Краткая информация
о телеконференции RISKS (comp.risks)
RISKS Forum - это модерируемый
дайджест. Его эквивалент в Usenet - comp.risks.
О подписке. Если это возможно
и удобно для Вас, читайте RISKS средствами телеконференций из
comp.risks или эквивалентного источника.
Можно использовать сервис
Bitnet LISTSERV.
Можно направить почтовый
запрос по адресу:
с однострочным текстом:
SUBSCRIBE (или UNSUBSCRIBE)
[сетевой адрес, если он отличается от указанного в заголовке FROM:]
чтобы подписаться или
прекратить подписку на почтовую версию, или
INFO
чтобы получить краткую
информацию о телеконференции RISKS.
Информационный файл (аннотация,
подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков
из областей управления .mil, .gov и .uk, политика в области авторских
прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:
Подробный информационный
файл появится отныне и на веки веков в одном из следующих выпусков.
Предполагается, что все
авторы, пишущие в RISKS, ознакомились с информационным файлом.
Материалы в телеконференцию
RISKS следует направлять по адресу:
снабдив их осмысленным
заголовком SUBJECT:.
Архивы доступны по адресам:
ftp ftp.sri.com<CR>login
anonymous<CR> [Ваш Интернет-адрес]<CR>cd risks
http://catless.ncl.ac.uk/Risks/<том>.
<выпуск>.html
В каталоге risks сервера
ftp.sri. com содержится также самая свежая PostScript-версия исчерпывающей
хронологической подборки однострочных "выжимок", которую
поддерживает Peter G. Neumann
написание слов, которые могут послужить
Материалы предоставлены компанией
В тексте оставлено англоязычное
написание слов, которые могут послужить аргументом поиска в Интернет
- прим. перев.
© 1997 National Computer
Security Association. All rights reservedURL:
М.Е. Кабай, доктор
наук, Национальная ассоциация информационной безопасности США
Автор, M.E. Kabay,
сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно
в 1917 году, шлет теплые поздравления своим неизвестным родственникам,
проживающим в России.
|
|
|
- и пространственная, и временная. Может быть, по этой причине
каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев,
и вспоминают, что изменилось за это время в области их профессиональных
интересов. В "NCSA News" публикуется обзор года "The
InfoSec Year in Review", чтобы осмыслить события, произошедшие
в области информационной безопасности. Наша группа исследований,
обучения и консультирования, естественно, имеет удовольствие писать
этот обзор. Предлагаемая вниманию читателей статья представляет
собой существенно расширенную версию доклада, опубликованного
в январском выпуске "NCSA News" за 1997 год. Каждый
месяц мы готовим свежую сводку событий для наших учебных курсов
"InfoSec Update"; в статье сохранено разбиение по месяцам.
Кроме фактов, ниже излагаются некоторые соображения по поводу
наиболее примечательных событий.
Интеграция средств контроля доступа и средств VPN
Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:
Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил. Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия. Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик. Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок. Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.
Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.
Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов.
Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу.
Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится.
Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.
Intrusion Detection Systems (IDS) Лекция из курса «Межсетевое экранирование»
Лапонина Ольга Робертовна
Интернет-Университет Информационных Технологий, INTUIT.ru
Инженеры человеческих душ
- Алло!
- Справочная Киевского вокзала слушает.
- У вас заложена бомба.
- !?…
В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи.
Использование открытых стандартов для интеграции средств защиты разных производителей
Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети.
Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов.
Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу.
В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:
Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan). Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:
CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки, UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений, LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1, OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.
Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.
Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.
Более подробную информацию вы можете найти на сайте корпорации Uni:
Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня.
Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности.
Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.
Более подробную информацию вы можете найти на сайте корпорации Uni:
Использование протокола ODBC
Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.
Использование условной вероятности
Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
(9)где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
(10)где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.
Изначальная конфигурация.
Изначально МЭ не содержит никаких сетевых
пользователей, все сетевые сервисы закрыты. В первую очередь
необходимо в соответствии с политикой безопасности сети определить
защищаемый интерфейс, правила приема/передачи электронной почты.
По умолчанию системный журнал сконфигурирован таким образом, что
в него записываются:
сообщения ядра
сообщения о состоянии файловой системе
все попытки доступа ко всем сетевым сервисам
все факты использования МЭ
все факты, связанный с аутентификацией пользователей
Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:
адрес инициатора соединения
адрес удаленной стороны
время события
начала сессии
конец сессии
количество переданных байт
количество принятых байт
использование тех или иных специальных параметров протокола
результаты аутентификации пользователя
попытки смены пароля и иного общения с системой авторизации
Для защиты самого МЭ используются следующие механизмы:
ограничение доступа по узлам файловой системы (UNIX chroot)
отсутствие пользователей на МЭ
система контроля целостности программ и ключевых файлов
Управление пользователями МЭ позволяет:
определить способ аутентификации для каждого пользователя отдельно
создавать группы пользователей
определять для каждого пользователя/группы время работы
определять для пользователя/группы использование тех или иных протоколов
в зависимости от времени суток, адреса источника и destination.
определять по правилам предыдущих пунктов возможность использования
конкретных параметров и управляющих директив протоколов.
устанавливать для пользователей право изменения пароля
МЭ поддерживает два основных режима работы - прозрачный и обычный.
при использовании обычного режима порядок действий пользователя для
соединения с машиной по другую сторону МЭ выглядит следующим образом:
соединяется с МЭ
проходит авторизацию (в зависимости от политики безопасности)
дает команду proxy на соединение с удаленной машиной
Второй пункт обычно используется в случае доступа со стороны открытой
сети, доступ изнутри наружу может быть разрешен без дополнительной
авторизации. Работа в прозрачном режиме выглядит так:
дается команда на соединение с внешней машиной
авторизация
Т.е. при доступе из сети, не требующей авторизации, пользователь просто
соединяется куда пожелает, и наличие МЭ ему не видно.
При работе в любом режиме действуют все правила, определенные администратором
МЭ
Известные свободно распространяемые проекты
Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.
Январь
Первая проблема возникла
в самую первую секунду года. Добавление лишней секунды создало
трудности для программного обеспечения, управляющего распространением
единого всемирного времени из Национального института стандартов
и технологий (NIST) США. Лишняя секунда заставила добавить к дате
целый лишний день (см. ). Подождите до 2000
года, если хотите увидеть настоящие проблемы, связанные с календарями
и часами.
С начала января и до конца
февраля во всем мире продолжали критиковать запрет на доступ через
CompuServe к двумстам телеконференциям Usenet, наложенный в конце
1995 года в качестве дикой, явно неадекватной реакции на запрос
баварского прокурора по поводу информации о телеконференциях,
незаконных с точки зрения действующего в южных землях Германии
законодательства. CompuServe, неспособный закрыть доступ к этим
телеконференциям для части своих пользователей, "поставил
шлагбаум" для всех 4 миллионов подписчиков во всем мире.
К концу февраля было реализовано выборочное блокирование, позволившее
отключить от крамольных телеконференций только заданные географические
области. Пикантность ситуации со всеми этими запретами состоит,
однако, в том, что существуют общеизвестные методы доступа к телеконференциям
Usenet по электронной почте. В более широком плане можно вывести
следующую мораль: наблюдается растущая тенденция налагать местные
(провинциальные или национальные) ограничения на доступ к тем
или иным частям Интернет. (Более детальную информацию можно найти
в ).
В начале года в "Wall
Street Journal" было опубликовано сообщение о том, что первое
санкционированное судебными властями прослушивание коммерческого
поставщика Интернет-услуг привело к аресту трех лиц по обвинению
в мошенническом использовании услуг сотовой связи. Эти лица рекламировали
свою деятельность через CompuServe (см. "Wall Street Journal",
2 января 1996 года, с. 16).
22 января по немецкому
телевидению выступил член компьютерного клуба "Хаос"
(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные
с передачей в открытом виде по системе T-Online персональной банковской
информации. Хакер (между прочим, не криминальный хакер) подключился
к домашней телефонной линии, воспользовавшись незапертой коммутационной
панелью в подвале жилого дома. Он перехватил идентификатор и персональный
идентификационный код пользователя, после чего разорвал соединение
и немедленно перевел сумму в 5 тысяч немецких марок на другой
счет. Прежде чем провести публичную демонстрацию, члены клуба
"Хаос" предупреждали банкиров и их клиентов, что во
всей коммуникационной сети финансовых учреждений, начиная с настольных
систем, данные должны передаваться в зашифрованном виде (см. ). Должен отметить, что я встречался с одним из ведущих членов
компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на
меня произвела глубокое впечатление его несомненная приверженность
некриминальному хакерству. Я надеюсь, что все большее число криминальных
хакеров будут следовать примеру членов клуба "Хаос",
выбирая для себя ответственный, цивилизованный стиль поведения.
Matt Blaze, Whitfield
Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric
Thompson и Michael Wiener опубликовали доклад "Минимальная
длина ключа при симметричном шифровании, обеспечивающая адекватную
безопасность коммерческих систем". Авторы утверждают, что
симметричное шифрование с длиной ключа 40 бит более не способно
противостоять атакам методом грубой силы, и даже 56-битные ключи
на самом деле не могут считаться надежными. Для современных систем
настоятельно рекомендуется минимальная длина ключа в 75 бит. С
учетом роста вычислительной мощности в ближайшие 20 лет, нужны
как минимум 90-битные ключи. Полный текст этого доклада доступен
по адресам (формат
PostScript) и
(ASCII-формат).
Еще несколько сообщений
от группы NCSA IS/Recon:
В Нидерландах разразился
политический скандал, связанный с обвинениями в прослушивании
в центральном банке. Вся деятельность персонала контролировалась
без уведомления или получения разрешения.
Гражданин России Алексей
Лачманов признал себя виновным в участии в "электронном ограблении"
Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном
математиком и криминальным хакером из Санкт-Петербурга Владимиром
Левиным.
Dan Farmer, автор
программы SATAN, проверяющей безопасность систем, подключенных
к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую
и стандартную версии операционной системы (что может быть полезным
для идентификации заплат и выявления внедренного вредоносного
программного обеспечения). Характерно, что новую программу он
назвал "FUCK". Вероятно, ни один из пользователей сети
America Online (AOL) не сможет обратиться к этой программе по
имени в силу действующей там автоматической фильтрации непристойностей...
Ассоциация британских
страховых компаний выпустила доклад, в котором утверждается, что
компьютерная преступность наносит индустрии ежегодный ущерб в
сумме около 1 миллиарда фунтов.
Barry Jaspan нашел
ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает
возможность пользователям извлекать из памяти секретные RSA-ключи,
что компрометирует всю систему безопасности компьютера. Для выявления
"дыры" потребовалось 20 минут, и это наводит на мысль
о большом числе оставшихся ошибок, которые Барри мог бы найти,
будь у него еще немного времени.
Представители Lotus
объявили, что в продукте Lotus Notes теперь будут использоваться
составные ключи, позволяющие правительству расшифровывать информацию,
циркулирующую в рабочих группах. Защитники права на персональную
тайну предупреждают, что данное действие является отходом от оппозиции
к инициативе администрации Клинтона по внедрению составных ключей.
Напомним, что инициатива президентской администрации получила
негативную оценку в промышленных кругах.
Компания MCI объявила,
что с этого времени она будет закрывать счета пользователей, засоряющих
Интернет (то есть посылающих невостребованные письма большого
размера или заполняющих телеконференции неподходящими сообщениями).
Наблюдатели гадают по поводу того, кто будет решать, какие сообщения
подпадают под действие этих расплывчатых правил.
Языки описания уязвимостей и проверок
Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).
Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).
В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing).
Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:
# Секция описания сервисов: На анализируемом узле найден netstat
port 15 using protocol tcp => Service:Info-Status:netstat
Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.
# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.
(scanfor "SuperApp 1.0" on port 1234) (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003
Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).
Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.
Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.
Эксперты дискутируют о настоящем и будущем систем обнаружения атак
Computer Security Journal vol. XIV, #1
Ричард Пауэр (Richard Power)
перевод Алексея Лукацкого, НИП "Информзащита"
Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии.
Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.
Эшелонированная оборона
Многоуровневая система, задерживающая атаки и обеспечивающая своевременное резервное копирование данных, состоит из следующих уровней.
Этапы сканирования
Практически любой сканер проводит анализ защищенности в несколько этапов:
Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).
Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.
Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.
В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:
Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.
Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check". Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы. Все из вышеназванного.
Как это бывает?
Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:
- С вами говорит администратор сети, Иван. Как вас зовут?
- Оля!..
- Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?
- А мне говорили, что чужим нельзя называть свой пароль.
- Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?
- Да, согласна.
- Тогда назови свой пароль и все будет ОК.
- Мой пароль olja.
- ОК. Спасибо за помощь.
Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом:
"Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности.
Надеемся на Ваше понимание и содействие.
С уважением, служба технической поддержки сервера mail.domain.ru"
Как правильно выбрать средство контроля за электронной почтой.
Рынок IT стремительно развивается. Новинки появляются день ото дня, и уследить за ними чрезвычайно сложно. Да и в уже существующие продукты постоянно добавляются новые функции и возможности, порой весьма экзотические. Разбираться в них просто не хватает времени. Но зачастую это и ни к чему. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру возможность разместить в документе видеоклип или включить звуковое сопровождение, могут нас лишь неожиданно порадовать.
К сожалению, при выборе средств безопасности нередко даже специалисты подчиняются описанному стереотипу. Многие только в самых общих чертах представляют, для чего им необходим тот или иной продукт. В качестве примера мы будем рассматривать такую важную задачу, как построение системы контроля корпоративной электронной почты. Ее основные задачи - защита от спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием электронной почты, обнаружение вирусов и "троянских коней", блокировка передачи файлов запрещенного типа - перечислит каждый. Но когда дело доходит до внедрения, администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д.
А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, стоит задуматься о том, какие цели планируется достичь в результате ее внедрения. Данный процесс должен привести к составлению правил использования тех или иных ресурсов. В сумме все эти правила составляют общекорпоративную политику безопасности. Без ее наличия любая система защиты, даже самая изощренная, окажется бесполезной тратой денег. К тому же, имея четкие представления о том, что вам нужно, проще определиться и с необходимой функциональностью продукта.
Но как же подойти к подобной задаче? Ответственность за построение политики безопасности следует возложить на комиссию из представителей отделов безопасности и отделов автоматизации. Работу целесообразно начать с рассмотрения объекта, над которым производится действие. В нашем примере это будут электронные письма. Самые главные атрибуты писем - адреса отправителя и получателя. Все письма делятся на две категории (по направлению их движения): входящие и исходящие. Очевидно, что и к тем, и другим предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все более или менее понятно: весь мир делится на ваших партнеров и клиентов, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особенно осторожно, так как помимо родственников и друзей сотрудников в это множество входят и ваши конкуренты. Взаимоотношения с партнерами и клиентами тоже могут иметь разную степень доверия.
Внутренние почтовые адреса организации - второй критерий отбора при построении политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Компания состоит из руководства и (по нисходящей) департаментов, управлений, отделов, отделениий, рабочих групп и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне иерархии есть начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры заключается в том, что у каждого из сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы.
После того как мы определились с двумя основными критериями отбора, нам осталось выполнить еще два шага.
Прежде всего придется составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализвать по следующей схеме. Вся почта организации разделяется на входящую и исходящую.
Исходящая почта может идти:
от подразделения 1 к партнеру 1, к партнеру 2 и к прочим адресам; от подразделения 2 только к партнеру 3 и т. д.
Входящая почта может идти:
от партнера 1, партнера 2 и с прочих адресов в подразделение 1; от партнера 3 и с прочих адресов в подразделение 2 и т. д.
Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, а те в свою очередь... и т. д., вплоть до каждого конкретного сотрудника.
Насколько глубоко придется спускаться при построении модели взаимодействия, подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической компании, каждый менеджер которого общается со своей и только со своей группой клиентов.
Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.
Второй шаг, и это заключительный этап в построении рассматриваемой политики безопасности, состоит в наложении ограничений на разрешенные почтовые взаимодействия. В отличие от скучного описания схемы взаимодействия на предыдущем шаге - это процесс творческий. Конкретные ограничения необходимо разместить на каждой ветви построенного дерева.
Для выработки таких правил, вероятно, придется пообщаться с различными категориями людей. Но прежде всего по поводу ограничений на исходящую информацию стоит посоветоваться с руководителями соответствующих структурных подразделений и представителями отдела безопасности, чтобы они составили перечни слов и выражений, характерных для конфиденциальной или другой информации, выход которой за пределы компании нежелателен. Решения "под копирку" здесь не подойдут. К примеру, появление в письмах слов "вакансия", "резюме" и т. п. типично для переписки отдела кадров, но в переписке других отделов это может означать, что один из сотрудников занялся поиском работы на стороне, и к нему, возможно, отныне стоит относиться с недоверием. Необходимо помнить и о разумности накладываемых ограничений. Установление излишних запретов приведет к тому, что впоследствии администраторы безопасности не смогут выделить настоящие нарушения в ворохе блокированных по пустым подозрениям писем.
После уточнения этих параметров, необходимо проконсультироваться у системных администраторов относительно прочих нежелательных характеристик почтовых сообщений: например, их размера, наличия вложений определенного типа и т. д. Таким образом можно ограничить поступление в корпоративную сеть спама и прочего непродуктивного трафика (видеоклипов, картинок, аудиофайлов, рассылок от различных развлекательных сайтов).
Даже если вы ознакомите с принятой политикой безопасности всех своих сотрудников, то это не значит, что все будут беспрекословно ее соблюдать. Всегда найдутся те, кто попытается обойти новую систему. А может быть, вы хотите внедрить данное средство незаметно для пользователей? В любом из этих случаев важно не только обнаружить факт нарушения, но и предусмотреть ответную реакцию на такое событие. Реагирование может предусматривать полное или временное блокирование письма-нарушителя, занесение записи о событии в журнал регистрации, оповещение о нем администратора или другого уполномоченного лица либо уведомление самого пользователя - выбор зависит от возможностей конкретного средства.
В результате можно составить следующее мнемоническое правило политики безопасности для электронной почты: "Кому, откуда/куда запрещено получать/отправлять письма, удовлетворяющие условию, и как реагировать на такие события".
После того как четко определены все требования, вы сможете оценить необходимую функциональность средства для контроля содержимого электронной почты либо удостовериться в достаточности встроенных функций уже используемого межсетевого экрана или вскоре приобретаемой системы обнаружения атак для реализации вашей политики безопасности.
Естественно, что конкретные ограничения будут постоянно подвергаться корректировке, но наличие грамотно построенной политики безопасности поможет легко адаптировать ваше средство к любым жизненным испытаниям.
Быть может, кто-то спросит, зачем средства контроля содержимого необходимы именно мне? Сомневающимся в их практической полезности имеет смысл рассмотреть следующие соображения.
Вспомните, сколько времени ваша система бездействовала после последнего сбоя в результате активизации полученного по почте вредоносного кода и оцените свои прямые и потенциальные потери от этого. А все ли ваши сотрудники довольны работой и зарплатой? Не переманивают ли кого-нибудь конкуренты, и не пересылает ли он будущим работодателям, в знак своей преданности, конфиденциальные материалы, среди которых фрагменты исходных кодов программ, которые вы создали с огромным трудом (текстов договоров, сведений о планируемых сделках и т. п.)? А вдруг сотрудник использует в переписке с партнерами ненормативную лексику, да еще по отношению к вашим конкурентам или политическим деятелям, и кто-то потом выдает это за официальное мнение компании? А что, если деньги компании уходят на оплату рабочего времени сотрудников, когда они просматривают видео или прослушивают аудиофайлы, которыми обмениваются со своими знакомыми и между собой.
Если вы уже решились на внедрение тех или иных средств защиты, то, надеюсь, что эта статья поможет использовать их на полную мощность.
Михаил Савельев - ведущий специалист НИП "Информзащита". С ним можно связаться по адресу: .
Как система обнаружения атак может
Карри: Это важные вопросы, которые должны тщательно рассматриваться при выборе системы обнаружения атак. Системы, основанные на профилях нападений хороши настолько, насколько хороши их базы данных сигнатур. Администратор должен иметь возможность создавать свои сигнатуры для известных атак. Реальный тест - может ли продавец не отставать от новых нападений и не только своевременно создавать новые сигнатуры, но и позволять корректировать старые, как временную меру. Механизмы распределения также важны. Когда Вы имеете дело с десятками, сотнями или тысячами модулей слежения системы обнаружения атак в одной компании, идея о ходьбе к каждому компьютеру с дискетой или CD-ROM неосуществима. Идеально, если система может быть дополнена новыми сигнатурами дистанционно. Чтобы принять меры против внесения поддельных сигнатур атак (например, как это произошло с распространением через сеть FIDO поддельных обновлений антивирусной базы для программы Dr.Web - примечание переводчика), необходимо использовать механизмы аутентификации и шифрования. Модификация сигнатур должна осуществляться без прерывания процесса обнаружения.
Саттерфилд: Идеально, если система обнаружения атак модифицируется, как минимум, ежеквартально. Сигнатуры атак строятся на основе бюллетеней безопасности, появляющихся в результате создания новых приложений, несущих в себе новые уязвимости. Самая лучшая модель модификации сигнатур в системах обнаружения атак представлена в антивирусных программах. В конечном счете, заказчики должны иметь возможность регулярной загрузки новых сигнатур, чтобы гарантированно иметь самую последнюю информацию об уязвимостях. Механизм распределения сигнатур должен быть построен в первую очередь по технологии "pull", а не "push" (т.е. вы должны получать обновления у производителя по своей инициативе, а не по его - примечание переводчика). Большинство заказчиков не хочет иметь автоматически модифицируемые системы из-за сложностей в управлении и повышенного риска безопасности. Желательно, если система "предупредит", что база данных сигнатур устарела и требует модификации. Затем система соединяется через Internet с Web-сервером производителя и загружает новую версию базы данных сигнатур.
Клаус: Имеется два источника получения новых сигнатур атак: компании (подобно ISS) и непосредственно пользователи. Хорошая система обнаружения атак должна не только получать регулярные обновления от экспертов компании-производителя, но и иметь механизм, позволяющий пользователям добавлять свои, специфичные сигнатуры. Поддержка системы обнаружения атак в актуальном состоянии требует постоянных усилий для проведения соответствующих исследований.
Ранум: В идеале, система обнаружения атак должна модифицировать сама себя. Как минимум, система обнаружения атак требует модификации словаря атак. Новые атаки будут появляться постоянно. Это закономерно. Но кто их разрабатывает? Прямо сейчас я вижу беспокоящую меня тенденцию, согласно которой, в компаниях, которые проектируют программные средства защиты, нанимают хакеров для разработки новых атак. Это мало чем отличается от использования труда вирусописателей компаниями, разрабатывающими антивирусные программы. Уже известен случай, когда инженер одного из производителей средств обнаружения атак опубликовал в журнале Phrack исходный текст инструментария для создания атаки SYN Flood типа "отказ в обслуживании" ("denial of service"). Спустя несколько недель этот производитель объявил, что они могут обнаруживать и блокировать атаку SYN Flood. Такое неэтичное поведение выставляет всех нас в плохом свете.
Спаффорд: Это зависит от используемой технологии. Если система обнаружения атак функционирует по принципу сравнения с сигнатурой, то необходимо загружать новые сигнатуры. Аналогично антивирусным сканерам. Если система обнаруживает аномальное поведение, то просто необходима периодическая подстройка. Например, система Tripwire не нуждается в модификации для получения новых атак. Необходимо только добавлять новые ресурсы, необходимые для контроля. Для систем, нуждающихся в новых профилях атак, их получение зависит от продавца или любой другой обслуживающей компании, обеспечивающей новые сигнатуры. Администратор может и сам создавать такие шаблоны, но это утомительно, требует большого количества исследований и подвержено ошибкам больше, чем в случае с профессиональными компаниями.
Как системы обнаружения атак "приноравливаются"
Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. "Системами Обнаружения Атак" ("Intrusion Detection System"), а не "Экспертами по Отражению Атак" ("Intrusion Countermeasure Expert" - ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак - для активного или пассивного обнаружения.
Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда "срабатывает" соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного.
Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе.
Клаус: И обнаружение атак, и анализ защищенности - критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности.
Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.
Как защититься?
Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором.
Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.):
Как идентифицировать подозрительные действия и куда сообщать о них? Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации. Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?
Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности).
Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации.
Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.
Как защититься от большинства компьютерных атак
Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.
Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ. Обнаружение вирусов и троянских коней Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей. Межсетевые экраны Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак. Вскрыватели паролей (Password Crackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли. Шифрование Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH). Сканеры уязвимых мест Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры. Грамотное конфигурирование компьютеров в отношении безопасности Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены. Боевые диалеры(war dialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры. Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениями и Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности. Имеется Средства выявления топологии сети и сканеры портов Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них. Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть от Интернет, и что делать в случае компрометации важного сервера. предоставляет общие консультации в рамках США. отвечает за консультирование гражданских государственных учреждений в США. Политики безопасностиСистема сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров. Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Атаки этого типа могут быть очень серьезными, особенно если атакующий настолько умен, что организовал продолжительную атаку, у которой не выявить источник. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им. Мы рекомендуем проводить этот вид анализа на уязвимость только опытным системным администраторам или специальным консультантам.
Какие наиболее серьезные слабости в существующих коммерчески распространяемых системах?
Саттерфилд: Многие продукты управляются локально. Локальное управление системами обнаружения атак, аналогично управлению другими средствами защиты, имеет значительные недостатки, которые, зачастую, проявляются только через некоторое время после развертывания системы. Масштабируемость жизненно важна для эффективного применения системы, особенно в крупных сетях. Вторая проблема - производительность. Большинство коммерческих систем обнаружения атак не может эффективно функционировать даже в сетях Ethernet (10 Мбит/с), не говоря уже о сетях ATM и других более скоростных магистралях.
Клаус: Мы столкнулись с двумя основными проблемами. Во-первых, вы должны быть уверены, что ваша система обнаружения атак соответствует вашей сети. А, во-вторых, вы должны ответить на вопрос: "Что делать потом?". Необходимо настроить приобретенную систему таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики вашей сетевой инфраструктуры. Вы не имеете старых версий операционной системы SunOS? Следовательно, вы неуязвимы к атакам типа "UDP Bomb". Это знание уменьшает вероятность ложных обнаружений. Однако для такой настройки требуется знание топологии сети и сведений об используемом программном и аппаратном обеспечении. Ни одна из современных систем обнаружения атак не проводит такого рода предварительной настройки. Ответ на вопрос "Что делать потом?" также немаловажен. Предположим, что система обнаружения атак сообщает о событии DNS Hostname Overflow. Что это означает? Почему это плохо? Как я должен реагировать в ближайшей и далекой перспективе? Многие современные системы не обеспечивает такой уровень подробности. Кроме этого иногда очень трудно отделить важную информацию от второстепенной. Необходимо иметь немалый опыт в области обнаружения атак, чтобы формализовать его и заложить в систему.
Ранум: Самая большая слабость - наличие огромного числа приложений, которые имеют неизвестные уязвимости. Для типичной системы обнаружения атак основной способ определения нападения - проверка на соответствие сигнатуре. Однако, это ограниченное с технической точки зрения решение.
Карри: Обнаружение атак в коммерческих системах - все еще новая, неисследованная область. Производители разрабатывают системы в очень быстром темпе. Хотя существуют некоторые очевидные слабости масштабируемости, удаленной модификации и т.п., большинство производителей уже решило эти проблемы в альфа-версиях или в версиях, находящихся в процессе опытной эксплуатации. Имеется только одна, действительно серьезная, на данный момент нерешенная, проблема - база данных сигнатур. Написание модуля слежения для системы обнаружения атак - достаточно простая задача. Для этого необходим хороший алгоритм сопоставления с образцом, организация буферизации данных и эффективные алгоритмы кодирования. Но самый лучший в мире модуль слежения бесполезен без полной, всесторонней базы данных сигнатур атак, которая должна быть очень быстро обновляемой, так как новые атаки и уязвимости обнаруживаются постоянно. Создание такой базы данных требует наличия хорошо осведомленных экспертов, имеющих доступ к большому числу источников информации об атаках. Способность создания и обновления такой базы данных будет главным параметром, по которому будут оцениваться производители систем обнаружения атак в следующие 12-24 месяцев.
Спаффорд: Современные производители сосредотачивают свое внимание на обнаружении внешних атак, а не на выработке обобщенного подхода к обнаружению нарушений стратегии защиты. Выработка этого подхода - это область активных исследований в ближайшее время.
Какие проблемы создают объемы
Клаус: Переполнение данных - одна из главных проблем с системами обнаружения атак. Имеется два основных пути - управление отчетами программы и наличие "здравых" средств управления данными. Хорошая система обнаружения атак должна иметь возможность точной настройки - некоторые атаки могут обнаруживаться, а могут и нет; определенные атаки могут изменять некоторые свои параметры (например, число портов, открытых в определенный промежуток времени, - примечание переводчика), варианты реагирования также могут быть настроены. Эта настройка позволяет вам управлять тем, что и как сообщает вам система обнаружения атак. Хорошая идея - интегрировать средство обнаружения атак с системой анализа защищенности. Это позволит вам сконцентрироваться на самых важных данных, сохранив менее критичные данные для последующего анализа. Хорошая система обнаружения атак способна генерировать сообщения об атаке, выдавать их на экран, и иметь контекстно-зависимую справочную систему. Она также должна иметь эффективные механизмы управления данными, чтобы персонал мог анализировать собранные данные удобным для себя образом. Персонал, работающий с системой обнаружения атак, должен не только быть обучен правилам работы с ней, но и знать, как интегрировать ее в инфраструктуру своей организации.
Что касается аутсорсинга, то компании могут иметь разные точки зрения на него. Некоторые не используют аутсорсинг, так как созданных системой обнаружения атак данных достаточно для принятия соответствующих решений. Другие, напротив, желают воспользоваться аутсорсингом, поскольку они не так хорошо разбираются в защитных механизмах и технологиях и им необходима сторонняя помощь. Все это зависит от критичности данных и здравого смысла конечного пользователя системы обнаружения атак.
Ранум: Если вы записываете весь трафик на загруженной сети, то недорогой жесткий диск будет делать это медленнее, чем система обнаружения атак "пишет" на него (например, в сетях Fast Ethernet пропускная способность равна 100 Мбит/сек, а скорость доступа к современным "стандартным" жестким дискам равна 24-80 Мбит/сек - примечание переводчика). Вы должны знать, что сохранять, а что нет. Например, если вы контролируете доступ к Web-серверу, то, вероятно, нет необходимости сохранять все графические GIF-файлы. Полезнее хранить URL к ним. Если вы - секретная спецслужба, ищущая секретные данные в изображениях (стеганография - наука о методах скрытия самого факта передачи сообщения, в т.ч. и скрытие данных в графическом изображении - примечание переводчика), то вы предъявляете совершенно другие требования. Приспосабливаемость к различным требованиям по управлению данными является большой проблемой современных систем обнаружения атак, - сколько данных записывать; как долго их хранить; как представить их конечному пользователю? Я чувствую, что большинство пользователей не захочет иметь дела с этими проблемами. Им проще будет приобрести систему обнаружения атак, как часть комплексного решения по обеспечению информационной безопасности сети, предлагаемого внешней организацией и поддерживаемого 24 часа в сутки, 7 дней в неделю (аналогичные услуги в последнее время получили широкое распространение за рубежом - примечание переводчика).
Карри: Проблема не в количестве данных. Это всего лишь побочный эффект. Реальная проблема в том, что вы будете делать, когда система обнаружения атак уведомит вас о нападении? Когда вы получаете такое уведомление, вы должны реагировать быстро и правильно - любая ошибка может стоить вам дорого. Кроме того, вы не можете уменьшить число ложных срабатываний без риска пропустить реальную атаку. Таким образом, вы должны уметь отделять зерна от плевел. Как только вы решили, что тревога реальна, что это значит? Как вы реагируете? Автоматический ответ хорош, но это последнее, что вы должны предлагать своим заказчикам. То есть вы нуждаетесь в постоянном человеческом присутствии и возможности обработки оператором почти всех тревог. Это требует выделенного, опытного персонала, который постоянно контролирует эти атаки, знает, как они реализуются и, что более важно, знает, что с ними делать. Обучение и укомплектование персонала для решения этой задачи сложно - большинство компаний не имеет такой возможности, не может себе позволить создавать такие подразделения, не имеет на это времени и, даже если они смогли бы сформировать их, то у них нет на это соответствующих материальных ресурсов.
Саттерфилд: Действительно, управление данными - самая большая проблема перед всем семейством средств защиты информации. Это особенно важно для технологии обнаружения атак. На скоростях 100 Мбит/сек и выше система обнаружения атак должна собирать и анализировать большое количество данных. Ранние прототипы систем обнаружения атак фиксировали нажатия клавиш, которые сохранялись на локальном жестком диске и затем, ночью, передавались на центральную консоль для обработки на следующий день. Это работало, но было не оперативно и не соответствовало требованиям работы в реальном режиме времени.
Современные технологии оперируют интеллектуальными датчиками, которые собирают только те пакеты, которые могут содержать возможные нарушения защиты. Пакеты анализируются датчиком, а затем, в виде кодированного сигнала передаются дальше. Фактические данные, вызвавшие тревогу, доступны, но уже не имеют большого значения. Дело в том, что датчик должен быть интеллектуальным и должен уметь выбирать только важную информацию. Остальное игнорируется. Это единственный способ создать крупномасштабную систему обнаружения атак, функционирующую в реальном режиме времени с заданной эффективностью. Эта технология очень мощная. Она обеспечивает сбор и отображение заинтересованным лицам всей информации об уровне защищенности организации. Хорошая система обнаружения атак будет разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако, пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования. "Пробел в умении защищать" не дает многим организациям понять, как себя защищать на достаточно серьезном техническом уровне. Следовательно, я думаю, что большое количество организаций обратится к аутсорсингу в области сетевой безопасности. Мы часто слышим от клиентов, что их компании "не нуждаются в аутсорсинге". Однако, после того, как мы им демонстрируем требования к обучению и затраты на 24-часовое поддержание соответствующего уровня безопасности они пересматривают свои позиции. Часто задается один вопрос. Кому вы скорее доверите свою защиту? Служащим, которые могут на следующей неделе работать на ваших конкурентов, или поставщику услуг, связанному контрактом? Этот вопрос обычно ведет к очень интересному обсуждению. Сотрудники службы аутсорсинга - это текущий контроль местных тревог. Фактически, потребители поняли, что системы оповещения, расположенные на предприятии, имеют мало значения, если они не имеют удаленного контроля. Сколько раз вы останавливались на улице, чтобы узнать, почему раздается сигнал тревоги из дома соседа? Ответ - вы обычно ждете шестичасовых новостей, чтобы узнать об этом.
Спаффорд: Системы обнаружения не должны генерировать много данных. Что касается заданных вопросов, то позвольте мне обратить ваше внимание, что мы проводим исследования в этих областях (за исключением обучения и укомплектования персоналом) и пока не нашли лучшего решения.
Kerberos
Технология аутентификации и шифрования Kerberos () была разработана в Массачусетском технологическом институте и «выпущена в свет» в 1987 году. С того момента эта технология превратилась в стандарт, которым занимается рабочая группа Common Authentication Technology Working Group, сформированная при Internet Engineering Task Force.
Свободно распространяемые версии Kerberos предлагаются для платформ Macintosh, Unix и Windows. Коммерческие реализации созданы Microsoft, Oracle, Qualcomm и рядом других компаний. Microsoft вызвала критику специалистов, работающих на этом рынке, интегрировав в Windows 2000 версию Kerberos, не в полной мере соответствующую стандарту.
Классификация компьютерных атак
Когда мы говорим "компьютерная атака", мы имеем в виду запуск людьми программ для получения неавторизованного доступа к компьютеру. Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:
Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть) Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают. Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем (для восстановления работоспособности чаще всего компьютер надо перезагрузить) Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам. Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернете в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки. Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей. Сейчас компьютеры могут угадывать пароли так быстро, что казалось бы сложные пароли могут быть угаданы. Сетевые анализаторы (снифферы): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика.
Компьютер под защитой программного межсетевого экрана
Маршрутизатор защищает от атак извне. Однако некоторые типы злонамеренного программного обеспечения, такие как интернет-черви, троянские программы и программы-шпионы, работают изнутри. Для того чтобы прекратить их деятельность, необходим программный защитный экран, установленный непосредственно на компьютере.
Межсетевой экран, настроенный исключительно по принципу полномочий доступа, предупреждает о любой попытке приложения передать данные по сети и позволяет блокировать эту операцию, таким образом обращая внимание администратора на приложения, которые могут оказаться злонамеренными.
Таблица - программные и аппаратные межсетевые экраны
Из соображений удобства межсетевые экраны, встроенные в пакеты Panda Platinum Internet Security и Symantec Norton Internet Security 2004 автоматически предоставляют полномочия многим приложениям Windows. Однако такой шаг может привести к нарушению защиты. Например, первоначально продукт Panda, предоставляя доступ службам Windows, оставлял открытым порт 135 — именно через этот порт в компьютер проникает печально известный червь Blaster. Правда, когда это было замечено, ошибка была исправлена.
Встречается и обратный "перегиб": казалось бы, пакет обеспечения безопасности не может блокировать все подряд — он должен оставлять возможность работы хотя бы для собственных компонентов. Однако, оказалось, что в McAfee Internet Security Suite 6 это не так. Например, при попытке отправить письмо по электронной почте программа выдает сообщение о том, что MCSHIELD.EXE и MGHTML.EXE (два компонента пакета McAfee) пытаются получить доступ к защищенному файлу — то есть к dat-файлу почтового клиента.
Компоненты системы Internet Scanner
Система Internet Scanner&153; состоит из трех основных подсистем, предназначенных для тестирования сетевых устройств и систем (Intranet Scanner), межсетевых экранов (Firewall Scanner) и Web-серверов (Web Security Scanner).
Компоненты системы RealSecure
Система RealSecure использует распределённую архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.
Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).
Контроль доступа на основе содержания передаваемой информации
Система безопасности FireWall-1/VPN-1 поддерживает развитые методы контроля доступа на основе содержания передаваемой информации. Модуль FireWall-1/VPN-1 позволяет задавать правила доступа для различных типов объектов-ресурсов, которые классифицируются в зависимости от типа протокола доступа (HTTP, FTP, SMTP), выполняемой протокольной операций (например, только GET для ресурса протокола FTP), адресов отправителя или получателя и других признаков.
Если в контролируемом трафике встречается ресурсный объект, удовлетворяющий заданным в правилах признакам, то его содержание проверяется и над ним выполняется некоторое действие. Базовые проверки и действия выполняют модули Security Server, входящие в состав FireWall-1/VPN-1, а более специфический контроль, содержания, например, проверка на наличие вирусов, контроль содержания электронной почты или блокирование Java и ActiveX угроз, может быть выполнен продуктами третьих фирм на основе открытых протоколов платформы OPSEC.
Платформу OPSEC сегодня поддерживают многие ведущие производители продуктов контроля содержания, например, Symantec, Contenet Security, Aladdin Knowledge Systems, Trend Micro, X-Stop, JSB Software Technologies, и процесс присоединения к OPSEC продолжается. Это дает возможность системам безопасности на основе FireWall-1/VPN-1 осуществлять разносторонний контроль содержания путем привлечения лучших продуктов третьих фирм и в то же время сохранять традиционный для FireWall-1 способ управления этим процессом - на основе правил политики.
Во многих случаях необходимо контролировать доступ не на основе IP-адресов или каких-либо данных об отправителях/получателях, а в зависимости от содержания передаваемой информации. Например, многие атаки на сеть основаны на внедрении вирусов в коды загружаемых пользователями предприятия программ или в макросы загружаемых документов. Часто источником угроз является содержимое электронной почты, рассылаемой в массовом порядке. Еще одним распространенным типом содержания, представляющего потенциальную опасность для сети, являются Java и ActiveX апплеты, загружаемые в компьютеры предприятия при просмотре активных Web-страниц.
Средства контроля содержания могут также служить эффективным дополнением для традиционных средств контроля доступа в том случае, когда, например, доступ на уровне пользователей был ошибочно задан слишком свободно, но известен список ключевых слов, содержащихся в конфиденциальных документах.
Так как для каждого типа потенциально опасного содержания требуется применение специфических методов контроля, то доступ по содержанию обычно выполняется отдельными продуктами, дополняющими функции межсетевого экрана. Однако, для повышения оперативности защиты важно, чтобы экран мог самостоятельно выполнять некоторый набор примитивных функций, часто также относимых к контролю доступа по содержанию, например:
разрешение выполнения только определенного подмножества операций, определенных в протоколе (например, только команды GET в протоколе FTP или метода GET в протоколе HTTP), доступ только по определенному списку URL, доступ на основе списка разрешенных адресов электронной почты.
В остальных случаях межсетевой экран должен уметь взаимодействовать со специализированными продуктами, передавая им проверку определенного типа содержания.
Координированный контроль доступа в нескольких точках
Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.
Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.
Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.
Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:
Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз. Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете. Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался
Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.
У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.
Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.
Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.
Краткий обзор по протоколам
Терминальный сервис
Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам
невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном
режиме при использовании этих видов сервиса. При стандартном режиме работы
пользователь общается только с соответствующей программой, он не осуществляет
удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер
на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ,
соответственно каждый сервис требует отдельной конфигурации.
Протокол передачи файлов
Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном
и обычном режимах. При использовании прозрачного режима графические реализации
клиента FTP (например CuteFTP for Windows95) не требуют изменения.
При стандартном режиме и в случае дополнительной авторизации графические
версии использовать не рекомендуется (можно пользоваться терминальной
версией ftp в windows95). МЭ осуществляет полный контроль за
использованием команд протокола RETR,STOR и т.д.
Электронная почта.
МЭ предоставляет поддержку электронной почты с использованием протокола
SMTP. Поскольку известно большое количество проблем, связанных со стандартной
программы передачи почты sendmail, МЭ не запускает ее в привилегированном
режиме. Вместо этого с протоколом SMTP работает специальная программа
(2000 строк против 40 000 строк в sendmail), которая обрабатывает все
соединения по порту 25, проводит полный анализ всех управляющих команд
и заголовков письма, после чего вызывает sendmail для реальной передачи
сообщения. Все это происходит не в режиме суперпользователя и
на изолированном участке файловой системы.
Среди дополнительных возможностей имеется возможность скрыть реальную
внутреннюю структуру сети от анализа по почтовым адресам.
Для чтения почты пользователями используется специальная серверная программа,
использующая авторизацию через одноразовые пароли. МЭ поддерживает работу
по протоколу POP3 с использованием APOP стандарта( см. RFC1725).
WWW.
МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ,
отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше
публично доступных аналогичных программ и может быть легко проанализирована.
Важнейшим отличием ее от других является возможность блокирования передачи
в составе гипертекстовых документов программ на языке JAVA. О полезности
этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении
за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие
вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль
за используемыми HTTP методами (GET,PUT,HEAD).
X11.
X Window System хорошо известная проблемами с безопасностью среда.
X11 клиент, соединившийся с сервером, имеет возможность получить контроль
над клавиатурой, прочитать содержимое других окон. Система доступа к X11
в МЭ используется совместно с терминальными программами telnet и rlogin.
Она определяет псевдо-сервер, с которым и организуется соединений по
протоколу X11. При каждом таком соединении пользователю предлагается
сделать выбор мышкой - разрешить или запретить работу вызванного приложения.
Удаленная печать.
В некоторых случаях есть необходимость пересылки по сети печатной информации.
МЭ включает средства поддержки удаленной печати. При использовании
соответствующей программы проверяется откуда приходит запрос и на какой принтер.
также осуществляется контроль за удаленным управлением очередями печати
Удаленное выполнение задач.
Эта возможность реализована несколько ограниченно по причинам безопасности,
поскольку протокол rsh является одним из наиболее опасных. Пользователи
из приватной сети могут по правилам определенным администратором МЭ
выполнять задачи удаленно в открытой сети.
Передача звука - RealAudio.
Для пользователей приватной сети имеется возможность использовать
аудио по запросу протокол.
Доступ к базам данных.
В настоящий момент реализована возможность доступа к базам данных
Sybase с контролем на МЭ.
Нестандартные протоколы.
Для работы с нестандартными протоколами, использующих TCP в составе МЭ
имеется средство plug-ge, позволяющее использовать прозрачное прямое
соединение. Поскольку это средство не поддерживает авторизации, его
использование должно происходить под строгим контролем и только
если администратор понимает, что он делает. В общем случае рекомендуется
использовать circuit-level приложение из состава МЭ, поддерживающее
авторизацию. Управление этим средством со стороны пользователя
легко осуществляется с помощью стандартной программы telnet. Авторизовавшись,
пользователь может осуществить несколько соединений. Каждое такое соединение
происходит только при подтверждении со стороны пользователя, что это
делает именно его программа.
Май
Женщина-законодатель из
Калифорнии решила выяснить, почему она постоянно получает письма,
предназначенные одиноким родителям. Оказалось, что алгоритмы,
реализованные в демографических программах штата, содержат предположение
о том, что если в свидетельстве о рождении у родителей ребенка
разные фамилии, эти родители не состоят в браке. Таким образом,
правомерность статистического заключения "30% матерей в Калифорнии
воспитывают детей в одиночку", оказалась серьезно поколебленной.
В декабре столь же бурную реакцию вызвала публикация в "USA
Today", в которой утверждалось, что показатели компьютерного
индекса цен, базирующиеся на понятиях сельскохозяйственного и
индустриального прошлого, абсолютно не годятся для измерения производительности
труда и затрат в постиндустриальной экономике, основанной на информации
и предоставлении услуг. (Как говорится, что посеешь, то и пожнешь,
или, выражаясь более современно, мусор введешь, мусор и получишь.)
Информационный сервис
Edupage сообщил, что компания DVD Software предлагает утилиту
"UnGame", отыскивающую и уничтожающую компьютерные игры
в соответствии с ежемесячно обновляемым списком. По данным на
июнь, более 20 колледжей и университетов приобрели и используют
эту утилиту, чтобы уменьшить время, растрачиваемое студентами,
занимающими дефицитные терминалы и рабочие станции под игры, тогда
как другие студенты нетерпеливо ожидают возможности поработать
за компьютером. ("Chronicle of Higher Education", 7
июня 1996 года, с. A24).
Новая версия программы
управления дорожным движением, установленная в Вашингтоне, без
всяких видимых причин перевела работу светофоров с режима часов
пик (50 секунд зеленого света), на режим выходных дней (15 секунд
зеленого света). Возникший хаос привел к удвоению времени поездок
многих людей.("Washington Post", 9 мая).
Во Франции два поставщика
Интернет-услуг, WorldNet и FranceNet, решили отключить доступ
ко всем телеконференциям Usenet, поскольку французская прокуратура
пригрозила арестом директоров, несущих персональную ответственность
за нарушение национальных законов Франции о детской порнографии.
Последовала буря протестов, а Французская ассоциация профессионалов
Интернет обратилась за международной поддержкой в борьбе с полицейской
акцией, предложив блокировать всю сеть Usenet (см. ).
Откликаясь на эти события,
Simson L. Garfinkel <> указал (см. ), что блокировать отдельные телеконференции Usenet, поставляющие
педофилам детскую порнографию, довольно легко. Более того, хранение
или передача детской порнографии является федеральным преступлением.
Всякая организация, поддерживающая соответствующие телеконференции
на территории Соединенных Штатов (в том числе America Online),
нарушает федеральное законодательство.
Согласно сообщению агентства
AP от 18 мая, First National Bank of Chicago допустил самую большую
счетную ошибку в финансовой истории. В результате компьютерной
ошибки (читай - плохого контроля качества) около 900 миллионов
долларов были переведены на каждый из примерно 800 счетов. Суммарная
ошибка, таким образом, составила 763.9 миллиарда долларов. Интересно,
какую премию по итогам года получили программисты?
Также 18 мая австралийское
агентство Associated Press сообщило о краже микросхем памяти и
жестких дисков из 55 компьютеров, установленных в здании правительства
провинции Квинсленд.
Еврейское издательское
общество выпустило компакт-диск с иудейской информацией. Покупатели
этого диска были неприятно поражены, увидев, что в программе предохранения
экрана использована христианская символика. Вероятно, диск готовила
компания, ориентированная преимущественно на христиан, и предохранение
экрана было в данном случае добавлено без учета контекста. К счастью
для межрелигиозных отношений, обе стороны признали свою ответственность
за случившиеся и поделили расходы на переиздание и повторное распространение
исправленной версии диска. Автор сообщения об этом случае в , Matthew P Wiener <>,
пошутил, что, по всей видимости, издатели не смогли организовать
должного бета-тестирования.
По сообщению "Wall
Street Journal" от 22 мая, две японские компании потеряли
около 588 миллионов иен после того, как мошенники научились не
только подделывать денежные карты, но и увеличивать закодированную
на них сумму. Электронные деньги переводились на обычные банковские
счета.
23 мая Rachel Polanskis
<> сообщила о том, что поисковый
сервер AltaVista включил в свой индекс файлы из корневого каталога
незащищенного Web-сервера. Когда она посредством навигатора отправилась
по найденной ссылке, то обнаружила, что получила суперпользовательский
доступ к системе, о которой ранее никогда не слышала. Рэчел весьма
любезно проинформировала о создавшейся ситуации администраторов
Web-сервера, которые тут же отключили его от сети и занялись восстановлением
защиты. Мораль состоит в том, что плохая система безопасности
на Web-сервере почти наверняка ведет к его полной компрометации
и получению доступа ко всей информации. ().
David Kennedy изложил
(в ) сообщение агентства Associated Press о сенатских
слушаниях, посвященных информационной безопасности. Правительственное
статистическое управление провело исследование числа незаконных
проникновений в компьютерные системы. Это исследование опиралось
на данные американского Министерства обороны, согласно которым
военные системы с несекретной информацией в 1995 году подвергались
атакам 160 тысяч раз. Агентство информационных систем Министерства
обороны собрало собственные данные, организовав около 38 тысяч
тестовых атак на несекретные системы. Примерно 65% атак оказались
успешными, причем лишь малая часть из них была обнаружена, а еще
меньшая - должным образом доведена до сведения командования. Обобщив
все эти данные, статистическое управление пришло к выводу, что
в 1995 году на правительственные компьютеры США было совершено
около 250 тысяч атак. На слушаниях говорилось также, что примерно
в 120 странах разрабатывают средства ведения информационной войны.
Peter Neumann указал, что отчет статистического управления можно
запросить в правительстве по наименованию "GAO/AIMD-96-84,
Information Security: Computer Attacks at Department of Defense
Pose Increasing Risks".
В конце мая с новой силой
разгорелась торговая война между Китаем и Соединенными Штатами.
США объявили о введении набора тарифов на общую сумму в 2 миллиарда
долларов в качестве компенсации за "массовое, терпимое и
даже поддерживаемое государством программное, музыкальное и видеопиратство,
поставленное в южном Китае на промышленную основу". (Reuters,
22 мая). Китайские чиновники заявили в ответ, что американское
давление на пиратов служит лишь прикрытием для "культурного
просачивания".
В Израиле полиция закрыла
три пиратские радиостанции, несанкционированно вещавшие на волнах,
зарезервированных для управления воздушным движением. (AP, 23
мая). Закрытию предшествовала забастовка авиадиспетчеров, парализовавшая
работу основного аэропорта Тель-Авива. Естественно, возникает
вопрос: "Если гражданские радиостанции могут непреднамеренно
нарушить функционирование важного аэропорта, то что в состоянии
сделать высокоэнергетические радиочастотные устройства (так называемые
HERF-пушки)?".
Продолжая борьбу за защиту
персональных данных, конгрессмен-республиканец Bob Franks и сенатор-демократ
Dianne Feinstein внесли на рассмотрение своих палат законопроект,
запрещающий предоставление информации о детях без согласия родителей
(AP, 23 мая). Подобная информация, которую собирают клубы дней
рождений в супермаркетах, магазинах игрушек, киосках быстрого
питания и т.п., поставляется компаниям, занимающимся рыночными
исследованиями и прямой рассылкой товаров по почте. Сторонники
законопроекта утверждают, что почтовые списки, доступные за плату
кому угодно, являются на самом деле списками потенциальных жертв.
28 мая Robert Alan Thomas,
40-летний житель калифорнийского города Милпитас, был приговорен
судом штата Юта к 26 месяцам заключения в федеральной тюрьме и
штрафу в размере 50 тысяч долларов за распространение детской
порнографии. Параллельно действует другой приговор, вынесенный
в Тенесси, согласно которому развратник и его жена должны отбыть
32 месяца в тюрьме штата за распространение непристойных изображений.
Данное дело имеет весьма серьезные последствия для операторов
электронных досок объявлений. Суд постановил, что любая передача
или прием подобного изображения может послужить основанием для
выдвижения обвинения.
Национальный исследовательский
совет опубликовал в конце месяца доклад, посвященный контролю
над криптосредствами. Коллектив известных ученых настоятельно
рекомендовал исключить криптосредства из законодательства о международной
торговле оружием. В докладе утверждается, что большинство целей,
ради которых ограничивается экспорт криптосредств, может быть
достигнуто путем разработки криптографического программного обеспечения,
предусматривающего возможность восстановления ключей или наличие
мастер-ключей для расшифровки сообщений по постановлению судебных
властей.
Один из сотрудников нашей
Ассоциации, занимающийся исследованием компьютерного подполья,
сообщил об аресте в собственном доме 16-летнего английского хакера
со звучным псевдонимом "Datastream Cowboy". Ему вменяются
в вину вторжения в компьютеры базы ВВС США в Rome Laboratories
(Нью-Йорк) и в некоторые другие международные сети. Еще одно сообщение
гласит, что вашингтонская группа криминальных хакеров "9x"
начала выпуск серии хакерских текстовых файлов.
Март
В начале марта система
электронной почты Белого Дома оказалась "затоплена"
из-за поддельной, непрошенной подписки на Интернетовские списки
рассылки, оформленной каким-то "доброжелателем" на правительственных
пользователей. "Автоответчик" в Белом Доме ()
реагировал на автоматически генерируемые входящие электронные
сообщения, направляя ответы в соответствующие списки, что вызвало
дополнительную перегрузку в Интернет. Эта атака на доступность
представляет собой еще одно проявление большой и постоянно растущей
проблемы киберпространства. В данном случае атаке способствовала
та простота, с которой можно подделать заголовки электронных писем,
в сочетании с неспособностью большей части программного обеспечения,
обслуживающего списки рассылки, выявлять поддельные запросы на
подписку.
В марте продолжалась атака
через телеконференции троянской программы с именем PKZ300B.ZIP
или PKZ300.EXE. Не принимайте, не передавайте и не выполняйте
файлы, выдающие себя за PKZip версии 3.0: это вредители, способные
уничтожить содержимое жестких дисков. Последняя версия программы
PKZip имеет номер 2.04g; соответствующее имя файла, скорее всего,
суть PKZ204g.zip.
В палату представителей
и сенат Конгресса США внесен законопроект, предусматривающий разрешение
экспорта аппаратуры и программ шифрования данных, если аналогичные
изделия доступны от зарубежных поставщиков. Законопроект утверждает
за каждым гражданином США право использовать внутри страны шифровальное
оборудование любого типа и запрещает обязательное использование
специальных ключей, позволяющих правоохранительным органам осуществлять
доступ к шифруемым данным. Кроме того, в законопроекте объявляется
преступлением применение криптосредств в преступных целях ("New
York Times", 4 марта 1996 года, с. C6).
Согласно сообщению "New
York Times" от 7 марта 1996 года, письмо, предназначавшееся
89 пользователям кредитных карт и извещавшее о приостановке их
счетов, в результате программной ошибки было отправлено в адрес
11 тысяч (из общего числа 13 тысяч) пользователей защищенных кредитных
карт банка Chase Manhattan. По иронии судьбы, это письмо получило
большинство самых благонадежных (и богатых) клиентов банка, что,
естественно, вызвало их раздражение. Как тут снова не вспомнить
о борьбе за повышение качества программного обеспечения?
Австралийская газета "The
Sunday Mail" (провниция Квинсленд) 10 марта сообщила об интересном
случае с двумя Белиндами - женщинами, носящими одно и то же имя,
Belinda Lee Perry, и родившимися в один день, 7 января 1969 года.
Из-за непродуманной реализации механизма уникальных идентификаторов
людей, совпадение имен и дат рождения гарантировало женщинам пожизненную
путаницу. Время от времени одна Белинда обнаруживала, что ее данные
затерты сведениями о тезке, что приводило к бесконечным неприятностям.
Единственный положительный момент во всей этой истории состоит
в установившихся дружеских отношениях двух страдалиц. Не пора
ли программистам понять, что пара (имя, дата рождения) не подходит
на роль уникального идентификатора?
Федеральная комиссия по
торговле (США) начала массированную атаку против мошенничества
в Интернет и WWW. Как сообщила 15 марта газета "Investor's
Business Daily", комиссия выдвинула против девяти физических
и юридических лиц обвинения в обманном использовании чужих имен.
В "Wall Street Journal"
от 15 марта сообщается о претензиях одного из производителей дисковых
приводов, компании IOMEGA. Утверждается, что ложная информация,
появившаяся в разделе "Motley Fool" (пестрые глупости)
сети America Online, вызвала сбои в торговле товарами этой компании.
IOMEGA направила жалобу в Комиссию по ценным бумагам и бирже (США).
Аналитики отмечают, что хоть в какой-то степени доверять такого
рода информации, публикуемой в сетях анонимно или под псевдонимом,
крайне глупо. (Конечно глупо, но, с другой стороны, кто слушает
советы аналитиков?)
Консультативный орган
по компьютерным инцидентам (Computer Incident Advisory Capability,
CIAC) Министерства энергетики США выпустил 18 марта бюллетень
"CIAC Notes" номер 96-01. В основной статье бюллетеня
приводится сводная информация об ошибках и исправлениях в области
безопасности Java и JavaScript. (Архив бюллетеней можно найти
по адресу ).
Член Национальной ассоциации
информационной безопасности США David Kennedy сообщил (см. ), что в конце марта компетентными органами Аргентины был
арестован Julio Cesar Ardita, 21 года, житель Буэнос-Айреса, системный
оператор электронной доски объявлений "Крик", больше
известный в компьютерном подполье под псевдонимом "El Griton".
Ему вменялись в вину систематические серьезные вторжения в компьютерные
системы ВМС США, NASA, многих крупнейших американских университетов,
а также в компьютерные системы Бразилии, Чили, Кореи, Мексики
и Тайваня. Одним из интересных аспектов данного дела является
использование гарвардской командой программ с искусственным интеллектом,
чтобы проанализировать тысячи возможных идентификаторов пользователей
и сузить круг подозреваемых до одного идентификатора, основываясь
на компьютерных привычках злоумышленника. Представители правительства
Аргентины конфисковали компьютер и модем хакера еще в январе.
Однако, несмотря на тесное сотрудничество компетентных органов
Аргентины и США, Ardita был отпущен без официального предъявления
обвинений, поскольку по аргентинскому законодательству вторжение
в компьютерные системы не считается преступлением. Кроме того,
в силу принципа "двойной криминальности", действующего
в международных правовых отношениях, Аргентина не может выдать
хакера американским властям. (Принцип "двойной криминальности"
утверждает, что необходимым условием выдачи гражданина другой
стране является уголовная наказуемость совершенного деяния в обеих
странах. Дело Ardita показывает, каким может быть будущее международных
компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних
соглашений о борьбе с компьютерной преступностью.)
Также в марте, "U4ea",
самопровозглашенный криминальный хакер, поднял волну Интернет-террора
в Бостоне. После атаки на компьютерную систему компании BerkshireNet
(см. выше информацию за февраль) и последовавших публикаций в
прессе, он, вероятно обидевшись, атаковал компьютеры газеты "Boston
Globe" и уничтожил хранившуюся на Web-сервере информацию.
Та же участь постигла Web-страницы газеты, хранившиеся на сервере
.
Механизмы работы
Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
На практике указанные механизмы реализуются следующими несколькими методами.
Методы, основанные на моделировании поведения злоумышленника
Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности [].
Преимущества:
появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события; планировщик обеспечивает независимость представления от формы данных аудита.
Недостатки:
при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели; эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы; этот подход дополняет, но не заменяет подсистему обнаружения аномалий.
Межсетевой экран для защиты локальной сети
Информация предоставлена
При подключении локальной сети к сети общего пользования перед Вами сразу возникает проблема: как обеспечить безопасность информации в Вашей локальной сети?
Межсетевой экран "ПАНДОРА" на базе фирмы и компьютера О2 фирмы Silicon Graphics под управлением IRIX 6.3 не только надежно решит проблему безопасности Вашей сети, но и позволит Вам:
скрыть от пользователей глобальной сети структуру Вашей сети (IP-адреса, доменные имена и т.д.)
определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться
описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису
получить полную статистику по использованию сервисов, попыткам несанкционированного доступа, трафику через "Пандору" и т.д.
"Пандора" устанавливается на компьютер с двумя Ethernet интерфейсами на выходе между локальной сетью и сетью общего пользования.
"Пандора" построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы:
TELNET, Rlogin (терминалы)
FTP (передача данных)
SMTP,POP3 ( почта)
HTTP ( WWW )
Gopher
X11 (X Window System)
LP ( сетевая печать )
Rsh (удаленное выполнение задач)
Finger
NNTP (новости Usenet)
Whois
RealAudio
Кроме того, в состав "Пандоры" входит сервер общего назначения TCP уровня, который позволяет безопасно транслировать через "Пандору" запросы от базирующихся на TCP протоколов, для которых нет proxy серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей "Пандора" позволяет использовать следующие схемы аутентификации:
обычный UNIX пароль;
S/Key, MDauth ( одноразовые пароли).
POP3-proxy позволяет использовать APOP авторизацию и тем самым избежать передачи по сети открытого пароля.
FTP-proxy позволяет ограничить использование пользователями отдельных команд ( например RETR, STOR и т.д.)
HTTP-proxy позволяет контролировать передачу через "Пандору"
фреймов
описаний на языке Java
описаний на языке JavaScript
html конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Гибкая и удобная система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя ( если есть), а также аномалии в самой системе.
"Пандора" не требует ни внесения изменений в клиентское программное обеспечение, ни использования специального программного обеспечения
Прозрачный режим работы proxy серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг ( т.е. без промежуточного соединения с "Пандорой".
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики "Пандоры".
"Пандора" поставляется вместе с исходными текстами основных программ, с тем чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
"Пандора" сертифицирована Государственной Технической Комиссией при президенте России СЕРТИФИКАТ N 73. Выдан 16 января 1997г. Действителен до 16 января 2000г.
Наблюдение за нажатием клавиш
Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены [].
Надежность и отказоустойчивость средств защиты
Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.
Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.
Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.
Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.
Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.
Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.
Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.
Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.
Очевидно, что к надежности и отказоустойчивости средств защиты предприятия, предъявляются очень высокие требования, так как при отказе, например, межсетевого экрана или VPN-шлюза, предприятие полностью или частично (в зависимости от количества каналов связи) лишается возможности взаимодействовать с внешним миром, а это при современной схеме ведения бизнеса крайне убыточно.
Надежность и отказоустойчивость отдельного продукта безопасности определяется соответствующими характеристиками его платформы и качеством реализации самого продукта. Для обеспечения нужного уровня надежности средств защиты необходимо тщательно выбирать для них платформу (компьютер и операционную систему) или же пользоваться аппаратными устройствами безопасности, надежность которых гарантируется производителем.
В особо ответственных применениях надежность и отказоустойчивость системы защиты необходимо повышать за счет резервирования и избыточности самих средств защиты - межсетевых экранов, VPN-устройств, средств обнаружения вторжений и т.д. Для поддержки такой архитектуры устройства защиты должны поддерживать возможность работы по схемам горячего резервирования или кластерной организации с полной синхронизацией состояний. Переход на резервный межсетевой экран или избыточный шлюз должен происходить автоматически при обнаружении отказа основного устройства. Важным свойством отказоустойчивых средств безопасности является прозрачность перехода на резервное устройство для внешних пользователей, сессии которых не должны разрываться из-за реконфигурации устройств защиты.
Направления развития средств безопасности предприятия
Виктор Олифер,
Сегодня неотъемлемым элементом бизнеса многих предприятий становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение в недалеком будущем Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме on-line и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.
Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.
Трансформация Internet в глобальную публичную сеть означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QoS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VoIP, сервис поиска и доставки новостей PointCast и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows 2000).
Перспективные средства защиты данных предприятия должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети:
Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к. отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с предприятиями-партенерами и массовыми клиентами, которых поставляет сегодня Intrenet. Принятие таких стандартов как IPSec и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться. Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах:
интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов предприятия - например, интеграция межсетвого экрана с VPN-шлюзом и транслятором IP-адресов. интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QoS-политики и т.п.
Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у предприятия многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
Для того, чтобы обеспечить надежную защиту ресурсов корпоративной сети сегодня и в ближайшем будущем, разработчики системы безопасности предприятия должны учитывать следующие основные тенденции:
Направления совершенствования СОВ
Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.
Недостатки существующих систем обнаружения
Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.
Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. []. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий. Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели. Отсутствие хороших способов тестирования.
Недостатки методов обнаружения:
недопустимо высокий уровень ложных срабатываний и пропусков атак; слабые возможности по обнаружению новых атак; большинство вторжений невозможно определить на начальных этапах; трудно, иногда невозможно, определить атакующего, цели атаки; отсутствие оценок точности и адекватности результатов работы; невозможно определять «старые» атаки, использующие новые стратегии; сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях; слабые возможности по автоматическому обнаружению сложных координированных атак; значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
Нейронные сети
Другой способов представления «образа» нормального поведения системы – обучение нейронной сети значениями параметров оценки.
Обучение нейронной сети осуществляется последовательностью информационных единиц (далее команд), каждая из которых может находиться на более абстрактном уровне по сравнению с используемыми параметрами оценки. Входные данные сети состоят из текущих команд и прошлых W команд, которые обрабатываются нейронной сетью с целью предсказания последующих команд; W также называют размером окна. После того как нейронная сеть обучена множеством последовательных команд защищаемой системы или одной из ее подсистем, сеть представляет собой «образ» нормального поведения. Процесс обнаружения аномалий представляет собой определение показателя неправильно предсказанных команд, то есть фактически обнаруживается отличие в поведение объекта. На уровне рецептора (рис. 2) стрелки показывают входные данные последних W команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя [].
Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:
топология сети и веса узлов определяются только после огромного числа проб и ошибок; размер окна – еще одна величина, которая имеет огромное значение при разработке; если сделать окно маленьким то сеть будет не достаточно производительной, слишком большим – будет страдать от неуместных данных.
Преимущества:
успех данного подхода не зависит от природы исходных данных; нейронные сети легко справляются с зашумленными данными; автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки.
Nessus
Nessus () — сканер уязвимых мест в защите, позволяющий выполнять проверку защиты Web-сайта удаленным образом. Разработчики Nessus выпустили этот инструментарий в апреле 1998 года. Nessus поддерживает серверы, которые удовлетворяют требованиям POSIX и работают с клиентами Java, Win32 и X11.
Netfilter и iptables
Группа разработчиков свободно распространяемого программного обеспечения подготовила Netfilter и iptables для интеграции в ядро Linux 2.4. Netfilter () дает пользователям возможность отслеживать обратные связи, ассоциированные с вторжением в сеть, тем самым позволяет выявлять тот факт, что система подвергается атаке. С помощью iptables () пользователи могут определять действия, которые должна предпринять система в случае обнаружения атаки.
Низкая удельная стоимость
Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.
Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.
В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.
В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.
В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.
Ноябрь
Юристы с нетерпением ждут
судебных дел по поводу проблем с датой в двухтысячном году, считая
это золотой жилой, классическими гражданскими делами для юридической
школы. Корреспондент телеконференции RISKS <>
добавил: "Возможно, руководители отделов информатизации станут
обращать больше внимания на проблему двухтысячного года, когда
юристы начнут возбуждать против них дела".
Семь человек признаны
Королевским судом Лондона виновными в криминальном заговоре с
целью обмана британских банков путем прослушивания коммуникационных
линий между банкоматами и банковскими компьютерами. Перехваченные
данные должны были использоваться для изготовления большого числа
фальшивых банковских карт. (Reuters, 4 ноября).
Канадской полиции удалось
раскрыть самую крупную в истории страны банду, занимавшуюся детской
порнографией. Все началось с ареста 22-летнего жителя далекого
городка на севере провинции Онтарио. Затем полиция совместно с
ФБР прошлась по связям молодого человека, арестовав 16 членов
Интернет-клуба "Orchid Club", проживавших в Соединенных
Штатах, Австралии и Финляндии. Правоохранительными органами было
конфисковано 20 тысяч компьютерных файлов, содержащих фотографии
и видеоклипы противозаконных сексуальных действий с вовлечением
детей или их изображений. (AP, 4 ноября).
Руководители телефонной
индустрии пожаловались, что растущее использование Интернет приводит
к превышению расчетных показателей загрузки голосовых линий, что
в свою очередь вызывает увеличение числа сбоев в работе телефонной
системы США. Местные телефонные станции все чаще не справляются
с вызовами (меньшее число звонков проходит с первой попытки),
ответом на все большее количество вызовов оказываются сигналы
"занято" или полная тишина. (Reuters, 4 ноября).
Расследование, проведенное
сотрудниками ФБР, закончилось предъявлением обвинений бывшему
служащему американской корпорации Standard Duplicating Machines.
Похоже, что после трехлетней работы в корпорации, завершившейся
в 1992 году, этот служащий использовал свои знания об отсутствии
защиты корпоративной системы голосовой почты. Он извлекал директивы
по продажам и другие ценные данные в интересах прямого конкурента
- корпорации Duplo U.S.A. Успеху проникновений способствовало
использование подразумеваемых "паролей" голосовых почтовых
ящиков. Эти пароли в соответствии с общепринятой практикой состояли
из добавочного номера и символа "#" в конце. Предполагаемому
промышленному шпиону, если он будет признан виновным, грозит до
пяти лет тюрьмы и штраф в размере до 250 тысяч долларов. (PR News,
5 ноября). В конце месяца преступник признал себя виновным в телефонном
мошенничестве.
В начале ноября криминальные
хакеры атаковали антивоенный сервер
и уничтожили сотни копий документов Министерства обороны США,
связанных с использованием химического и бактериологического оружия
во время войны в Персидском заливе. Поговаривали, что атаку финансировало
правительство. (Newsbytes, 5 ноября).
Компания Internet Security
Systems (ISS) объявила о выпуске первой известной коммерческой
системы мониторинга в реальном времени, способной справляться
с "SYN-наводнениями" и другими атаками против доступности.
(Эта информация не означает поддержку системы со стороны NCSA.)
(См. ).
Радио-телевизионная и
коммуникационная комиссия Канады (CRTC) по запросу телефонных
компаний наделила их правом запрещать продолжающуюся всю ночь
факсовую рассылку всякой ерунды. Запрет может действовать в пределах
Канады с 21:30 до 9:00 по рабочим дням и с 18:00 до 10:00 по выходным.
(Reuter, 7 ноября).
Отдел по информатике и
телекоммуникациям (CSTB) Национального исследовательского совета
США (NRC) объявил о выходе в свет окончательной версии труда по
криптографической политике "Роль криптографии в защите информационного
общества" (Cryptography's Role in Securing the Information
Society). Предварительный вариант работы был опубликован в мае.
(Более подробную информацию можно найти по адресу ).
Trevor Warwick <twarwick@madge.com>
сообщил об экспериментах с сотовыми телефонами. В его организации
обычно устойчиво работавшие серверы NetWare в течение трех дней
зависали несколько раз без всяких видимых причин. Наконец, обслуживающий
персонал обратил внимание, что каждый раз, когда сервер "умирал",
рядом находился специалист из компании AT&T (он налаживал
офисную АТС), разговаривавший по сотовому телефону. Эксперименты
подтвердили, что можно наверняка "завесить" сервер,
если использовать сотовый телефон на расстоянии порядка фута от
компьютера. Опыты на резервном сервере показали, что сотовый телефон
вызывает необратимое повреждение системного диска. Так что держите
сотовые телефоны подальше от своих компьютеров. ().
7-8 ноября дочерняя компания
AT&T - поставщик Интернет-услуг WorldNet - стала жертвой частичного
отключения электроэнергии, продолжавшегося 18 часов. Все это время
около 200 тысяч пользователей были лишены полного доступа к своим
системам электронной почты. (AP, 8 ноября).
Также 8 ноября Web-сервер
газеты "New York Times" был поражен "SYN-наводнением",
сделавшим один из самых популярных во "Всемирной паутине"
серверов недоступным. (См. .
На некоторых коммерческих
Web-серверах неправильно установленные программы SoftCart делали
возможным неавторизованный доступ к информации о кредитных картах
клиентов, после того как те совершали покупки у онлайновых торговцев.
("Wall Street Journal" в изложении Edupage; ).
Два года назад в Ливерморской
лаборатории наблюдался изрядный переполох (если не сказать паника).
В компьютерах Министерства энергетики было обнаружено 90 тысяч
изображений откровенно сексуального характера. Вероятно, прогресс
в области информационной безопасности, имевший место с тех пор,
так и не смог проникнуть за некоторые медные лбы. Физик-лазерщик
Kenneth Manes предоставил своему 16-летнему сыну суперпользовательский
доступ к правительственному компьютеру, использовавшемуся главным
образом для вычислений в интересах создания суперлазера, запланированного
как часть исследовательской программы Лаборатории в области ядерного
оружия. В каталогах суперпользователя также нашлось место для
90 откровенно сексуальных изображений, применявшихся для "бомбардировки"
компьютера в Швеции. Другой сын физика, 23 лет от роду, согласно
документам, представленным в муниципальный суд, обвинен в использовании
незаконно полученного пользовательского счета для торговли краденым
программным обеспечением. Сам Manes и еще один ученый обвиняются
в судебно наказуемых проступках.
Региональное управление
федеральных программ по охране окружающей среды (EPA), обслуживающее
атлантическое побережье США, 6 ноября было вынуждено выключить
свои компьютерные сети после того, как вирусная инфекция поразила
15% рабочих станций и серверов. (AP, 10 ноября).
Примерно в это же время
кто-то заполнил порнографией и насмешками официальный Web-сервер
встречи на высшем уровне глав 21 латиноамериканской страны. Сервер
был спешно выключен побагровевшими представителями властей. (Reuters,
11 ноября).
Американский фонд "Загадай
желание" помимо собственной воли стал наглядным примером
того, какой вред могут нанести недатированные, неподписанные,
недостоверные, но неубиенные письма, циркулирующие в Интернет.
Фонду пришлось организовать горячую линию и Web-страницу, моля
об окончании одного из многих вариантов современного городского
мифа. Герой этого мифа - Craig Shergold, мальчик, страдавший от
опухоли мозга. К счастью, операция по удалению опухоли прошла
успешно, и сейчас мальчик здоров. Тем не менее, в Интернет, среди
добрых, но наивных людей, каждый день продолжают циркулировать
тысячи писем. Эти люди думают, что бедный паренек все еще хочет,
чтобы ему присылали почтовые и визитные карточки. Однако, ни он,
ни почтовые служащие того района, где он живет, этого не желают.
Фонд приплел к этому делу какой-то глупец, захотевший всего лишь
приукрасить свой рассказ, и с тех пор "Загадай желание"
нежданно- негаданно стал получать тысячи кусочков бумаги для человека,
к которому он не имеет никакого отношения. Вывод: НЕ пересылайте
письма, пока не убедитесь в их достоверности. (Дополнительную
информацию можно получить по адресу
или по телефону (001) 800-215-1333, добавочный 184).
Все больше глупцов разносят
все больше страшных "вирусных" сказок. Одна из последних
вспышек глупости возникла на почве "вируса" "Deeyenda",
который вроде бы делает ужасные вещи по электронной почте. (Подробности
можно найти по адресу ).
Другие идиотские слухи относятся к "вирусу" "PENPAL
GREETINGS", делающему столь же ужасные (и столь же невозможные)
вещи. (; ).
Общая настоятельная рекомендация: не пересылайте "предупреждения"
о "вирусах", пока не попросите компетентного человека
проверить достоверность подобного предупреждения. ().
Чтобы нам не показалось
мало со страхом ожидаемых катастрофических крахов древних компьютерных
систем, все еще неспособных представить дату, большую, чем 31
декабря 1999 года, нас решили напугать реальными крахами, которые
могут случиться примерно в это же время. Оказывается, пик 11-летнего
цикла солнечных пятен приходится на 2000 год, о чем предупреждает
центр с длинным названием National Oceanic and Atmospheric Administration's
Space Environment Center. Некоторые из возможных последствий:
волны в линиях электропитания; сбои в работе спутниковой системы
глобального позиционирования; помехи в спутниковых системах сотовой
телефонной связи; повреждение компьютеров и других электронных
систем на спутниках; расширение земной атмосферы и вызванные этим
пертурбации орбит спутников и космического мусора; наведенные
токи в трубопроводах и других больших металлических объектах;
изменения магнитного поля Земли; интерференция с сигналами, управляющими
работой глубинных нефтяных буровых установок. Думаю, в самом конце
1999 года я изыму из банковской системы все свои деньги и постараюсь
перевести их в золото. (AP, 19 ноября; ).
Газета "USA Today"
сообщает об обзоре 236 крупных корпораций, подготовленном для
одного из комитетов Конгресса. Оказалось, что более половины крупных
американских корпораций стали жертвами компьютерных вторжений.
Около 58% компаний-респондентов заявили, что в прошлом году они
подвергались вторжениям. Почти 18% потеряли из-за этого более
миллиона долларов. Две трети жертв сообщили о потерях, превышающих
50 тысяч долларов. Согласно утверждениям респондентов, более 20%
вторжений представляли собой случаи промышленного шпионажа и вредительства
со стороны конкурентов. Респонденты дружно выразили озабоченность
отрицательным воздействием огласки компьютерных инцидентов на
доверие общественности к компаниям-жертвам. (AP, 21 ноября).
Служащий правительства
города Нью-Йорк использовал искажение данных, чтобы удалить налоговые
записи на общую сумму 13 миллионов долларов. Это крупнейшее однократное
налоговое мошенничество в истории Нью-Йорка. Представители полиции
дали понять, что по данному делу может быть арестовано более 200
человек. Виновным в мошенничестве и взяточничестве грозит до 10
лет тюрьмы. (22 ноября; ).
Peter Garnett и его жена
Linda, 54 и 52 лет, депонировали поддельный чек на сумму, эквивалентную
16.6 миллиона долларов, якобы выданный Британским центральным
банком. Одновременно они предъявили благотворительный чек на сумму
в 595 долларов. Похоже, криминальные наклонности не всегда подкрепляются
достаточным интеллектом. Дополнительной уликой, показывающей,
что дело тут не чисто, стал расточительный образ жизни парочки
без всякой видимой поддержки расходов на круизы, изысканные обеды
и Роллс-Ройсы. Глупцов приговорили к трем с половиной годам заключения
в британских тюрьмах. (AP, 22 ноября).
В последнюю неделю ноября
был ликвидирован WWW-сервер, сообщавший новости об оппозиции жесткой
линии президента Белоруссии. (AP, 26 ноября).
29 ноября американская
государственная железнодорожная компания Amtrak лишилась доступа
к своей национальной программной системе резервирования и продажи
билетов - как раз перед началом самого напряженного в году периода
путешествий. Как правило, у агентов не было твердых копий расписаний
и цен на билеты, что приводило к большим задержкам в обслуживании
клиентов. ().
Издающаяся на Шетландских
островах (Великобритания) газета "Shetland Times" обратилась
в суд, чтобы заставить конкурирующую электронную "газету"
"Shetland News" отказаться от практики помещать ссылки
на Web-страницы Times, оформленные в виде оригинальных заголовков
последней. (). (Комментарий автора. Этот случай напоминает
о прежних дебатах в Web, когда с сервера "Babes on the Web"
начали рассылать гипертекстовые ссылки на каждую персональную
Web-страницу, подготовленную женщиной. Некоторые женщины возражали,
что такое использование ссылок является неприличным. В связи с
"Шетландским делом" возникает два вопроса. Во-первых,
является ли заголовок объектом авторского права? Во-вторых, является
ли гипертекстовая ссылка потенциальным нарушением авторского права?
Если кто-то, разместивший информацию на Web-странице, сможет законодательно
запретить другим ссылаться на нее, последствия для Web будут весьма
серьезными.)
29 ноября обиженный компьютерный
специалист из агентства Reuters в Гонконге взорвал логические
бомбы в пяти инвестиционных банках - пользователях сервиса Reuters.
В результате сеть, поставляющая рыночную информацию, критически
важную для торговли, не работала 36 часов. Банки немедленно переключились
на альтернативные сервисы, так что бомбы не оказали заметного
влияния на их работу. А вот в Reuters пришли в полное замешательство.
().
30 ноября в Онтарио система
дебетовых карт крупного канадского банка (CIBC) отказала из-за
ошибки в новой версии программного обеспечения. Примерно половина
всех транзакций в восточной Канаде была приостановлена на несколько
часов. ().
Вышел 49-й номер журнала
"Phrack", содержащий коды "стирателя" и другие
средства использования брешей в защите. Склонная к проказам группа
телефонных хакеров "Phone Losers of America" организовала
штаб-квартиру для межрегиональной координации.
Объединенными силами
Маршрутизаторы, такие как модели Linksys и Microsoft, отражают внешние атаки, в то время как программные межсетевые экраны защищают компьютерные системы от вирусов-червей, распространяющихся через диски общего доступа, электронную почту и приложения для обмена файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны — необходимый защитный компонент для ноутбуков, подключаемых не только к защищенной офисной или домашней сети, но также к сетям общего доступа, особенно беспроводным.
Из рассмотренных межсетевых экранов нам больше всего понравились Sygate и ZoneAlarm. Sygate впачатляет быстродействием и модульной конфигурацией, благодаря которой его можно настраивать практически как угодно. Правда, некоторые его сообщения способны поставить в тупик, несмотря на подробность. Как, например, реагировать на такое предупреждение: "Internet Explorer (IEXPLORE.EXE) is trying to connect to (207.46.134.221) using remote port 80 (HTTP – World Wide Web)"? Даже в переводе на русский — "Internet Explorer (IEXPLORE.EXE) пытается соединиться с www.microsoft.com (207.46.134.221) через удаленный порт 80 (HTTP – World Wide Web)" не совсем понятно… А вот сообщение ZoneAlarm в той же ситуации вполне ясно: "Do you want to allow Internet Explorer to access the Internet?" — "Разрешаете ли вы доступ Internet Explorer к интернету?".
Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс значительно понятнее. Тем же, кому недостает терпения настраивать межсетевой экран, работающий по принципу предоставления полномочий, можно порекомендовать экран с фильтрацией портов, такой как PC-cillin.