Глава 1. Обзор безопасности

Широкое распространение мощных сетевых компьютеров в сфере делового и личного использования привело к появлению целых отраслей компьютерной и сетевой безопасности. Компании нуждаются в знаниях и умениях экспертов по безопасности для проведения аудита и принятия решений, соответствующих их требованиям. А так как многие компании по своей природе динамичны, и их работники обращаются к информационным ресурсам и локально, и удалённо, необходимость в создании защищённого компьютерного окружения возрастает ещё больше.

К сожалению, во многих компаниях (и у многих обычных пользователей) вопросы безопасности находятся на втором плане, после задач увеличения быстродействия, производительности труда и финансовых вопросов. Необходимые меры безопасности часто принимаются «после смерти» — когда злонамеренное вторжение уже произошло. Эксперты по безопасности сходятся во мнении, что правильные меры, предпринятые до соединения внутренней сети с открытой сетью (например, Интернетом), пресекают большинство попыток вторжения.

1.1. Что такое компьютерная безопасность?

Компьютерная безопасность — это общее понятие, охватывающее широкую область компьютерных и информационных технологий. В областях, где компьютерные системы и сети ежедневно используются для выполнения бизнес-транзакций и обращений к жизненно-важной информации, данные составляют значимую часть всех активов. Некоторые понятия и оценки прочно вошли в повседневный деловой лексикон, например, полная стоимость владения (TCO) и качество обслуживания (QoS). Эти оценки позволяют оценить целостность данных, высокую степень доступности и другие аспекты с точки зрения затрат на планирование и управление процессами. В некоторых отраслях, например, в электронной коммерции, доступность и доверие к данным может играть решающую роль.

1.1.1. Откуда возникло понятие компьютерной безопасности?

Многие читатели могут вспомнить фильм «Военные игры», с Мэттью Бродериком в главной роли, в котором студент взломал суперкомпьютер министерства обороны (Department of Defense - DoD) США и случайно создал угрозу ядерной войны. В этом фильме герой Бродерика с помощью модема подключался к военному компьютеру (WOPR) и играл с программой искусственного интеллекта, управляющей всеми ракетными установками. Фильм был выпущен во времена «холодной войны» между СССР и США в 1983 г. и имел определённый успех. Этот фильм многих вдохновил на реализацию некоторых приёмов, использованных юным главным героем для взлома закрытых систем, в том числе war dialing — сканирования номеров телефонов с модемами при заданном сочетании кода региона и префикса.

Более чем через 10 десять лет, после четырёхлетнего судебного разбирательства, при участии Федерального Бюро Расследований (ФБР) и компьютерных профессионалов со всей страны, был арестован известный хакер Кевин Митник (Kevin Mitnick). Он был обвинён в 25 преступлениях, связанных с компьютерами и устройствами доступа, и нанесению ущерба в 80 миллионов долларов, вызванным утратой интеллектуальной собственности и исходного кода программ компаний Nokia, NEC, Sun Microsystems, Novell, Fujitsu и Motorola. Тогда ФБР назвало это дело самым крупным делом, связанным с компьютерами, за всё историю США. Он был осуждён и приговорён к 68 месяцам тюремного заключения, из которых провёл 60 и был освобождён досрочно 21 января 2000 г.. Но ему по-прежнему было запрещено использовать компьютеры или проводить связанные с ними консультации до 2003 г.. Следователи говорят, что Митник был мастером в социальной инженерии — использовании человеческих недостатков для получения несанкционированного доступа к паролям и системам.

По мере расширения применения открытых сетей для безопасного хранения личной, финансовой и другой закрытой информации все эти годы развивалась и информационная безопасность. Есть множество ярких примеров, например, дела Митника и Владимира Левина (дополнительные сведения вы найдёте в разделе 1.1.2 История компьютерной безопасности), заставляющих самые разные организации задумываться о способе передачи и хранения информации. Во многом именно популярность Интернета вызвала бурное развитие технологий защиты данных.

Число людей, использующих свои персональные компьютеры для получения доступа к ресурсам Интернета, постоянно растёт. Интернет, давший миру от систем поиска информации до электронной почты и электронной коммерции, заслуженно считается одним из важнейших достижений 20 века.

Однако Интернет и ранние протоколы разрабатывались как системы, основанные на доверии. То есть, протокол Интернета (Internet Protocol — IP) изначально разрабатывался незащищённым. В стеке соединения TCP/IP отсутствуют утверждённые стандарты безопасности, что делает его открытым для зловредных пользователей и программ, работающих в сети. Современные разработки сделали соединения в Интернете более безопасными, но всё же целый ряд случаев, вызывающих широкий интерес, говорит о том, что нет ничего абсолютно защищённого.

1.1.2. История компьютерной безопасности

С рождением и развитием компьютерной безопасности связано несколько ключевых событий. Ниже перечислены некоторые наиболее значимые события, заставляющие задуматься о компьютерной и информационной безопасности и её важности сегодня.

1.1.2.1. Шестидесятые

  • Студенты Массачусетского технологического института (MIT) образуют клуб железнодорожного моделирования (Tech Model Railroad Club — TMRC), где они начинают исследовать и программировать компьютерную систему PDP-1. В этом клубе слово «хакер» (hacker) и приобрело современное значение.

  • Министерство обороны создаёт сеть агентства по передовым научно-исследовательским проектам (Advanced Research Projects Agency Network - ARPANet), ставшую популярным в научных и академических кругах средством обмена данными и информацией в электронном виде. Она проложила дорогу к созданию сети, известной сегодня как Интернет.

  • Кен Томпсон (Ken Thompson) разрабатывает операционную систему UNIX, прозванную «хакерской» за наличие средств разработки и компиляторов, да и поддерживали её в основном именно хакеры. И примерно в то же время Дэннис Ритчи (Dennis Ritchie) разрабатывает язык программирования C, несомненно, самый популярный язык хакеров за всё историю компьютеров.

1.1.2.2. Семидесятые

  • Болт (Bolt), Беранек (Beranek) и Ньюмэн (Newman), занимающиеся компьютерными исследованиями для правительства и промышленности, разрабатывают протокол Telnet — открытое расширение ARPANet. Это позволило начать общественное использование сетей, ранее доступных только избранным госслужащим и учёным. Хотя, по мнению многих экспертов по безопасности Telnet также является наиболее незащищённым протоколом для открытых сетей.

  • Стив Джобс (Steve Jobs) и Стив Возняк (Steve Wozniak) создают компьютер Apple и начинают продвижение персонального компьютера (PC). Именно этот компьютер стал своего рода трамплином, с которого многие нечистоплотные пользователи начали изучение техники взлома с помощью распространённого оборудования: аналоговых модемов и сканеров телефонных номеров.

  • Джим Эллис (Jim Ellis) и Том Траскотт (Tom Truscott) создают USENET — систему связи разных пользователей, своего рода электронную доску объявлений. Сеть USENET быстро становится одним из самых популярных форумов, где люди обмениваются идеями о компьютерах, сетях, и, конечно, их взломе.

1.1.2.3. Восьмидесятые

  • IBM разрабатывает и выпускает на рынок персональные компьютеры на базе процессора Intel 8086, которые благодаря сравнительно невысокой цене оказываются не только в офисах, но и дома. Это послужило признанию PC как распространённого и доступного средства, достаточно мощного и лёгкого в использовании, и проникновению этих компьютеров в дома и офисы, в том числе и злонамеренных пользователей.

  • Протокол управления передачей (Transmission Control Protocol — TCP), разработанный Винтом Серфом (Vint Cerf), разделён на две отдельные части. В результате получается протокол Интернета (Internet Protocol — IP), а объединённый протокол TCP/IP стал современным стандартом связи в Интернете.

  • Создаётся журнал, посвящённый разработкам в области телефонного мошенничества (исследование и взлом телефонных систем), «2600: The Hacker Quarterly», в котором начинается широкое обсуждение взлома компьютеров и компьютерных сетей.

  • Арестована банда 414 (названная по коду региона, в котором она действовала), взломавшая в течение девятидневной серии атак даже совершенно секретные системы, в том числе Лос-Аламосскую национальную лабораторию ядерных исследований.

  • Появляются первые объединения взломщиков, занимающихся поиском уязвимостей в компьютерных и электронных сетях данных — группы «Legion of Doom» и «Chaos Computer Club».

  • В 1986 конгресс США принимает «Акт о компьютерном мошенничестве и злоупотреблениях», причиной этому, в частности, послужило поведение Иана Мерфи, также известного как Captain Zap, который взламывал военные компьютеры, похищал информацию из базы данных заказов компаний и звонил по телефону через правительственные каналы связи.

  • Этот закон позволил выдвинуть обвинение аспиранту университета Роберту Моррису (Robert Morris), создавшему сетевого червя, и заразившему им более 6000 компьютеров, подключенных к Интернету. Ещё одним громким делом, когда был применён этот закон, было дело бросившего школу Герберта Зинна (Herbert Zinn), взломавшего системы компании AT&T и Минобороны.

  • С целью предотвратить повторение ситуации с червём Морриса, создаётся Центр Реагирования на Компьютерные Инциденты (Computer Emergency Response Team — CERT), призванный уведомлять пользователей о важных проблемах безопасности.

  • Клиффорд Столл пишет детективный роман Яйцо кукушки, в котором описывает поиск взломщика собственной системы.

1.1.2.4. Девяностые

  • ARPANet уходит в отставку. Трафик этой сети переходит в Интернет.

  • Линус Торвальдс (Linus Torvalds) создаёт ядро Linux для использования с операционной системой GNU; масштабная разработка и внедрение Linux осуществляется во многом благодаря Интернету, как средству совместной работы пользователей и программистов. Так как система Linux выросла из UNIX, она становится популярной среди хакеров и администраторов, понявших, что она может быть достойной заменой коммерческим операционным системам (с закрытыми исходными кодами).

  • Создаётся графический веб-браузер, который порождает экспоненциально растущий спрос на доступ к Интернету.

  • Владимир Левин с сообщниками незаконно переводит 10 миллионов долларов на различные счета, взломав центральную базу данных CitiBank. Левин арестован Интерполом, почти все деньги найдены.

  • Возможно, самый титулованный из всех взломщиков, Кевин Митник, взломавший различные корпоративные системы, похитивший самую разную информацию — от дат рождения до более чем 20000 номеров кредитных карточек и закрытых исходных кодов программ, арестован и приговорён к 5 годам тюрьмы за мошенничество.

  • Кевин Полсен (Kevin Poulsen) и его неизвестные сообщники блокируют телефонную систему радиостанции и выигрывают в викторине машины и денежные призы. Он обвинён в компьютерном мошенничестве и приговорён к 5 годам тюрьмы.

  • Истории о взломе и компьютерном мошенничестве становятся легендами, а взломщики собираются на ежегодной ассамблее DefCon, где они хвалятся своими достижениями и обмениваются идеями.

  • За неоднократный взлом правительственных систем США во время персидского конфликта арестован и осуждён 19-летний израильский студент. Военные назвали его атаки «самыми организованными и систематическими атаками» на государственные компьютеры за всю историю США.

  • Министр юстиции США Джанет Рено (Janet Reno), в ответ на продолжающиеся взломы системы безопасности в госструктурах, учреждает центр защиты национальной инфраструктуры (National Infrastructure Protection Center).

  • Неизвестные преступники захватывают британские спутники связи и требуют выкуп. В конце концов, британское правительство смогло вернуть управление спутниками.

1.1.3. Безопасность сегодня

В феврале 2000 г. производится распределённая атака типа отказ в обслуживании (DDoS — Distributed Denial of Service), поразившая наиболее загруженные сайты Интернета. Атака, на несколько часов сковавшая маршрутизаторы большими пакетами ICMP (что также называется наводнением пакетами ping), привела к недоступности для обычных пользователей сайтов yahoo.com, cnn.com, amazon.com, fbi.gov и некоторых других. Атака была произведена неизвестными нападающими с помощью специально созданных и быстро распространяющихся программ, сканирующих уязвимые сетевые сервера, устанавливающих на этих серверах троянских коней, и набрасывающихся в заданное время на сайты-жертвы. Многие считают причиной этой атаки значительные недостатки маршрутизаторов и используемых протоколов, рассчитанных на обработку всех входящих данных, вне зависимости от того кем, куда, и зачем передаются пакеты.

С этого началось новое тысячелетие, когда количество пользователей Интернета по всему миру достигло примерно 400 миллионов человек. И в то же время:

  • В среднем центр координации CERT университета Карнеги Меллон принимает в день около 225 сообщений о существенных нарушениях безопасности. [источник: http://www.cert.org]

  • В 2002 г., число поступающих в CERT сообщений об инцидентах выросло до 82094, с 52658 в 2001. На момент написания это документации только в первом квартале 2003 г. произошло 42586 инцидентов. [источник: http://www.cert.org]

  • Ущерб, нанесённый тремя наиболее опасными сетевыми вирусами за последние два года, оценивается в 13.2 миллиарда долларов. [источник: http://www.newsfactor.com/perl/story/16407.html]

Компьютерная безопасность стала значимой и оправдывающей себя статьёй любого бюджета ИТ. Компании, нуждающиеся в целостности данных и высокой степени доступности, приглашают администраторов, разработчиков и инженеров, чтобы обеспечить надёжность своих систем, служб и информации в режиме 24x7. Стать жертвой злонамеренных пользователей, программ или скоординированных атак — прямая угроза успеху компании.

К сожалению, план по компьютерной и сетевой безопасности может быть весьма сложным, а для его создания требуются исчерпывающие сведений о том, как организация использует, обрабатывает и передаёт информацию. Понимание принципов ведения бизнеса конкретной компанией (и работающими в ней людьми) крайне важно для реализации верного плана безопасности.

1.1.4. Стандартизация безопасности

Предприятия любой отрасли опираются на положения и правила, установленные утверждающими стандарты организациями, например, AMA (American Medical Association — Американская медицинская ассоциация) или IEEE (Institute of Electrical and Electronics Engineers — Институт инженеров по электротехнике и электронике). Подобные идеалы есть и в информационной безопасности. Многие эксперты по безопасности и разработчики опираются на стандартную модель безопасности — CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эта модель из трёх составляющих является общепризнанной при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности. Ниже модель CIA описана более подробно:

  • Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц. Неправомерная передача и использование информации должны быть запрещены. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи удостоверения личности или использования чужой кредитной карточки.

  • Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены. Неавторизованные пользователи не должны иметь возможность изменять или разрушать важную информацию.

  • Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность — это гарантия того, что информацию можно получать в оговорённом временном интервале. Часто этот интервал определяется в процентах и оговаривается в договоре поддержки, заключаемом между провайдерами сетевой службы и их клиентами.