Разоблачая мифы
А.В.Лукацкий
Опубликовано: dl, 11.09.02 22:12
В последнее время число семинаров и конференций, посвященных вопросам защиты информации, растет как тесто на дрожжах. На них присутствует большое число профессионалов, которые пытаются убедить участников этих мероприятий - сотрудников и руководителей отделов защиты информации различных банков, нефтяных компаний и других организаций приобрести те или иные средства защиты. Не хочу вдаваться в детали, но скажу, что абсолютное большинство выступлений может быть отнесено к двум направлениям - продвижение какого-либо продукта или решения и глубоко теоретические вопросы, никоим образом не интересующиеся специалистов-практиков. Однако самое интересное на таких конференциях, как и на любых других мероприятий не зависимо от их тематики, происходит в кулуарах. Именно в это время происходит живейшее обсуждение наболевших тем между представителями заказчиков и исполнителей. И, несмотря на активное просвещение темы защиты информации в прессе, все равно удивительно, что некоторые мифы продолжают жить. В данной статье я сделал попытку развеять некоторые из них и показать их несостоятельность. Ниже приведены некоторые из высказываний, которые я услышал за последний год. Если вы сами не раз говорили такие слова или слышали их из уст своих начальников, то, будьте уверены, - у вас очень большая прореха в системе защиты вашей организации.
Мифы об информационной безопасности
- "Усиление защиты лишний раз укажет любящим приключения хакерам направление приложения их сил". Действительно, не стоит на каждом углу кричать об используемых в вашей сети средствах защиты и настройках защитных механизмов. Но и не ставить преграды для хакеров тоже было бы неразумным - отсутствие защиты сделает хакерам доступ в вашу сеть полностью беспрепятственным.
- "Закрывать существующие лазейки в защите слишком дорого и трудно". Как показывает опыт и статистика стоимость восстановления информации и IT-ресурсов после атак намного превосходит стоимость даже самых дорогих средств защиты. С другой стороны не обязательно тратить деньги на средства поиска уязвимостей, такие как Internet Scanner. Все, что нужно для устранения дыр, - это подписаться на списки рассылки или ежедневно проверять новости серверов, публикующих информацию об обнаруженных дырах - CERT, X-Force, SecurityFocus и т.д. Автоматизировать эту работу можно и не тратя больших средств - достаточно использовать бесплатный сканер Nessus.
- "У нас никогда не было проблем с безопасностью!" Если их не было, еще не значит, что их и не будет. И хотя отечественные потребители живут согласно русской поговорке "пока гром не грянет, мужик не перекрестится", я советую следовать все же другому совету, который мне приходится регулярно слышать в автобусе во время поездки на работу: "Пожар лучше предупредить, чем ликвидировать". Лучше потратить некоторую сумму на построение системы защиты, чем тратить потом в десятки и сотни раз больше на ликвидацию ущерба от реализованной атаки. По адресу: http://www.infosec.ru/actions/estimation_of_damage.html вы можете рассчитать сумму потерь вследствие атак, направленных именно на ваши ресурсы.
- "Наша информация не нужна никому, кроме нас". Это очень распространенное заблуждение, которое встречается на каждом шагу. Но хакеры совершают свои действия не только из-за жажды наживы, но и по другим причинам - любопытство, шутка, политические или идеологические мотивы и т.д. Кроме того, примечателен пример с распределенными атаками "отказ в обслуживании", которые ощутимо дали о себе знать в феврале 2000 года. Тогда многие известные сервера (CNN.com, ZDNet.com, Amazon.com и т.д.) полегли в результате атак, одновременно направляемых с нескольких тысяч узлов сети Internet. При этом узлы, на которые устанавливалась клиентская часть, реализующая атаки, как правило, принадлежали ничего не подозревающим пользователям и организациям, которые пренебрегли рекомендациями специалистов по защите информации, что повлекло нанесение большого ущерба вышеназванным серверам. Т.е. данные сервера использовались как промежуточные узлы для реализации несанкционированных действий. И хотя ущерб был нанесен не самим компаниям, которые были "зомбированы", это не снимает с них ответственности. Тем более что в российском Уголовном Кодексе есть замечательная статья 274, которая определяет наказание за неправильную эксплуатацию средств вычислительной техники.
- "Мы открыты к сотрудничеству, и применение средств защиты влечет за собой исчезновение доверия, которое наша компания стремится расширять". Да, вы правы, но открытость должна быть разумной. Современные средства защиты информации позволят вам найти компромисс между защищенностью вашей сети и открытостью ее для заказчиков. Помните, что, став жертвой хакеров из-за своей открытости, вы можете отпугнуть существующих и будущих клиентов.
- "Чем система защиты неизвестнее, тем она защищеннее". К сожалению, это заблуждение мне приходилось слышать и от представителей российских компаний, предлагающих свои решения по защите информации.
Мифы о хакерах
- "Хакеры - это высококвалифицированные люди и их усилий не хватит на всех". С одной стороны это утверждение верно на 100%. Но вот с другой… Если вспомнить, что сейчас хакерами называют всех, кто может запустить на своего соседа WinNuke, то это утверждение уже не столь правильно. Существует огромнейшая категория пользователей, называющих себя настоящими хакерами, но таковыми не являющимися. Для них даже придуман специальный термин "script kiddies", что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера, и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т.д. А вреда такие "специалисты" могут нанести ничуть не меньше действительно квалифицированных хакеров. Какая вам разница - украдут у вас список кредитных карт ваших клиентов или выведут из строя Web-сервер путем реализации атак "отказ в обслуживании"?
- "Хакеры - всемогущи!" Еще один распространенный миф о хакерах - их всемогущество. Хакеры такие же люди, как и мы с вами. Только их энергия направлена на несколько иные поступки. Вы несомненно сможете обнаружить абсолютное большинство атак, реализуемых злоумышленниками с такой же или еще ниже квалификацией, что и у вас. Но как только в дело вступит квалифицированный "хакер-эксперт", то считайте, что вам не повезло. На рисунке показана зависимость вероятности обнаружения злоумышленника от его квалификации и квалификации персонала, отвечающего за обеспечение информационной безопасности. Если квалификация персонала выше, то в абсолютном большинстве случаев он имеет все предпосылки для обнаружения злоумышленников. Если квалификация персонала ниже, то обнаружить злоумышленника очень трудно или зачастую просто невозможно. В том случае, если квалификация администратора безопасности адекватна квалификации злоумышленника, то все зависит от того, кто первым сделает ошибку.
- "Основная опасность исходит снаружи, из Internet". Этот миф активно культивировался и культивируется средствами массовой информации, особенно телевидением. Однако попробуйте себе на минутку представить, что вы попали в трущобы Пекина и вам необходимо добраться до ближайшего аэропорта. Без знания языка и географии города достичь поставленной цели, ой как нелегко. Также и внешний злоумышленник, попавший в вашу сеть, будет, как слепой котенок тыркаться во все углы, выискивая, чем поживиться. Если внимательно расследовать все случаи проникновения хакеров в корпоративные сети, то это были либо случаи подмены главной страницы (deface) Web-сервера, либо не обошлось без вмешательства сотрудников взломанной организации. Только этот симбиоз позволяет хакеру быстро найти самые ценные и важные ресурсы корпоративной сети и украсть их.
- "Хакеры всегда на шаг впереди средств защиты и поэтому защищаться бессмысленно". Это не совсем корректное утверждение. Специалисты по защите информации также исследуют различное программно-аппаратное обеспечению с целью обнаружения и "затыкания" дыр до того, как они станут известны. В качестве примера можно назвать преемника известного списка рассылки Bugtraq - сервер SecurityFocus, на котором ежедневно публикуются сообщения о новых уязвимостях и способах их устранения, найденных экспертами во всем мире, или группу X-Force или CERT (http://www.cert.org). Кроме того, многие производители средств защиты (Microsoft, Sun, Hewlett Packard и т.д.) своевременно поставляют новые заплаты к выпускаемым ими программным решениям. Существуют и специализированные компании, например, Internet Security Systems, которые разрабатывают специализированные средства, предназначенные для поиска дыр в программном обеспечении.
- "Нас взломали на прошлой неделе и теперь хакеры не вернутся!" Не обольщайтесь. Не вернутся эти, так придут другие. Ведь хакерских групп и хакеров-одиночек достаточно и все они могут по случайности или намеренно набрести именно на вашу компанию и взломать вашу сеть или заменить главную страницу вашего сайта. Такие случаи не так уж и редки, особенно если ваша организация достаточно известна. Мало того, известны примеры, когда сеть компании взламывали повторно, оставляя сообщение о том, что "умные администраторы учатся на чужих ошибках, а глупые - на своих". Например, сайт www.parliament.ru ломали неоднократно, а однажды даже дважды в течение одной недели. В последний раз хакеры не утерпели и оставили на главной странице этого сайта сообщение: "Мы вас ломаем уже второй раз за эту неделю. Поставьте же наконец обновленное программное обеспечение…"
- "Зачем защищаться, если хакеры все равно смогут нас взломать?" Если хакер поставил перед собой цель взломать вас, то рано или поздно он добьется своего (разумеется, при наличии соответствующих ресурсов и квалификации). Однако вы уверены, что хакер захочет тратить немалые средства на достижение этой цели? Задача защитных средств состоит в том, чтобы сделать усилия хакеров бесполезными или настолько затратными, чтобы он потерял всякий интерес к вашей сети. Если речь идет о хакерах, цель которых кража информации с последующей ее продажей, то они вряд ли потратят на проникновение в вашу сеть больше средств, чем они смогут получить в результате продажи украденных данных.
Мифы о средствах защиты
- "Защитные механизмы слишком неудобны и вызывают только раздражение". Наверное, вы приверженец командной строки Unix, если можете говорить такие вещи. Уже прошли те времена, когда средства защиты управлялись с помощью редактирования конфигурационных файлов. Современные средства защиты обладают удобным графическим интерфейсом, что существенно облегчает управление ими администраторами безопасности и интеграцию этих средств в единую IT-инфраструктуру компании. Кроме того, правильная реализация защитных механизмов приводит к тому, что они абсолютно "прозрачны" для конечных пользователей.
- "Межсетевой экран - это панацея от всех бед". Этот миф уже постепенно рассеивается, но иногда все же такое утверждение проскакивает у некоторых сотрудников отделов защиты информации, особенно у бывших отставников силовых ведомств, всю жизнь занимавшихся вневедомственной охраной и волею судеб попавших на ниву информационной безопасности. Существует ряд проблем, о которых я уже не раз рассказывал и которые можно в очередной раз проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. Межсетевой экран просто ограничивает доступ к некоторым точкам за вашим ограждением.
- "Такая-то технология поможет защититься от всех напастей". Это более широкое толкование предыдущего мифа. Но… никакая, даже самая лучшая (на данный момент времени) технология не совершенна и не может защитить от постоянно возникающих угроз. Только создание комплексной системы защиты информации, учитывающей не только технические, но и организационные меры, сможет сделать вашу корпоративную сеть неприступной для хакеров.
Заключение
Все вышесказанное лишний раз убеждает меня, что люди моей профессии всегда будут при делах, - всегда найдутся Фомы Неверующие, которым придется учиться на своих ошибках и, для которых ошибки других не будут считаться уроком.
Об авторе:
Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва). Автор книги "Обнаружение атак". Сертифицированный инструктор по безопасности компании Internet Security Systems. Сертифицированный инженер по безопасности компании Check Point Software Technologies. Связаться с ним можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.
5 января 2002 г.