Глава 1. Обзор безопасности

Широкое распространение мощных сетевых компьютеров в сфере делового и личного использования привело к появлению целых отраслей компьютерной и сетевой безопасности. Компании нуждаются в знаниях и умениях экспертов по безопасности для проведения аудита и принятия решений, соответствующих их требованиям. А так как многие компании по своей природе динамичны, и их работники обращаются к информационным ресурсам и локально, и удалённо, необходимость в создании защищённого компьютерного окружения возрастает ещё больше.

К сожалению, во многих компаниях (и у многих обычных пользователей) вопросы безопасности находятся на втором плане, после задач увеличения быстродействия, производительности труда и финансовых вопросов. Необходимые меры безопасности часто принимаются постфактум — когда злонамеренное вторжение уже произошло. Эксперты по безопасности сходятся во мнении, что правильные меры, предпринятые до соединения внутренней сети с открытой сетью (например, Интернетом), пресекают большинство попыток вторжения.

1.1. Что такое компьютерная безопасность?

Компьютерная безопасность — это общее понятие, охватывающее широкую область компьютерных и информационных технологий. В областях, где компьютерные системы и сети ежедневно используются для выполнения бизнес-транзакций и обращений к жизненно-важной информации, данные составляют значимую часть всех активов. Некоторые понятия и оценки прочно вошли в повседневный деловой лексикон, например, полная стоимость владения (TCO) и качество обслуживания (QoS). Эти оценки позволяют оценить целостность данных, высокую степень доступности и другие аспекты с точки зрения затрат на планирование и управление процессами. В некоторых отраслях, например, в электронной коммерции, доступность и доверие к данным может играть решающую роль.

1.1.1. Откуда возникло понятие компьютерной безопасности?

Многие читатели могут вспомнить фильм «Военные игры» (Wargames), с Мэттью Бродериком в главной роли, в котором студент взломал суперкомпьютер министерства обороны (Department of Defense - DoD) США и случайно создал угрозу ядерной войны. В этом фильме герой Бродерика с помощью модема подключался к военному компьютеру (названному WOPR) и играл с программой искусственного интеллекта, управляющей всеми ракетными установками. Фильм был выпущен во времена «холодной войны» между СССР и США в 1983 г. и имел определённый успех. Этот фильм многих вдохновил на реализацию некоторых приёмов, использованных юным главным героем для взлома закрытых систем, в том числе «прозвонки» war dialing — сканирования номеров телефонов с модемами при заданном сочетании кода региона и префикса.

Более чем через 10 десять лет, после четырёхлетнего судебного разбирательства, при участии Федерального Бюро Расследований (ФБР) и компьютерных профессионалов со всей страны, был арестован известный хакер Кевин Митник (Kevin Mitnick). Он был обвинён в 25 преступлениях, связанных с компьютерами и устройствами доступа, и нанесению ущерба в 80 миллионов долларов, вызванным утратой интеллектуальной собственности и исходного кода программ компаний Nokia, NEC, Sun Microsystems, Novell, Fujitsu и Motorola. Тогда ФБР назвало это дело самым крупным делом, связанным с компьютерами, за всю историю США. Он был осуждён и приговорён к 68 месяцам тюремного заключения, из которых провёл 60 и был освобождён досрочно 21 января 2000 г. Но ему по-прежнему было запрещено использовать компьютеры или проводить связанные с ними консультации до 2003 г. Исследователи говорят, что Митник был мастером в социальной инженерии — использовании человеческих слабостей для получения несанкционированного доступа к паролям и системам.

По мере расширения применения открытых сетей для безопасного хранения личной, финансовой и другой закрытой информации все эти годы развивалась и информационная безопасность. Есть множество ярких примеров, например, дела Митника и Владимира Левина (дополнительные сведения вы найдёте в разделе 1.1.2 История компьютерной безопасности), заставляющих самые разные организации задумываться о способе передачи и хранения информации. Во многом именно популярность Интернета вызвала бурное развитие технологий защиты данных.

Число людей, использующих свои персональные компьютеры для получения доступа к ресурсам Интернета, постоянно растёт. Интернет, давший миру от систем поиска информации до электронной почты и электронной коммерции, заслуженно считается одним из важнейших достижений 20 века.

Однако Интернет и ранние протоколы разрабатывались как системы, основанные на доверии. То есть, протокол Интернета (Internet Protocol — IP) изначально разрабатывался незащищённым. В стеке соединения TCP/IP отсутствуют утверждённые стандарты безопасности, что делает его открытым для зловредных пользователей и программ, работающих в сети. Современные разработки сделали взаимодействие через Интернет более безопасным, но всё же целый ряд случаев, вызывающих широкий интерес, говорит о том, что нет ничего абсолютно защищённого.

1.1.2. История компьютерной безопасности

С рождением и развитием компьютерной безопасности связано несколько ключевых событий. Ниже приведена хронология некоторых наиболее значимых событий, заставляющих задуматься о компьютерной и информационной безопасности и её важности в наши дни.

1.1.2.1. 30-ые и 40-ые годы

  • Польские специалисты по криптографии изобрели в 1918 г. машину Enigma, электромеханическое роторное шифрующее устройство, преобразующее открытый текст в зашифрованный. Хотя устройство изначально создавалось для защиты финансовых данных, во время второй мировой войны немецкие военные увидели в нём потенциал для защиты передаваемых данных. Гениальный математик Алан Тюринг (Alan Turing) разработал способ взлома кодов Enigma, что позволило вооружённым силам союзников разработать Colossus, машину, в заслугу которой американцы часто ставят раннее завершение войны.

1.1.2.2. Шестидесятые

  • Студенты Массачусетского технологического института (MIT) образуют клуб железнодорожного моделирования (Tech Model Railroad Club — TMRC), где они начинают исследовать и программировать компьютерную систему PDP-1. В этом клубе слово «хакер» (hacker) и прозвучало в современном контексте.

  • Министерство обороны создаёт компьютерную сеть агентства по передовым научно-исследовательским проектам (Advanced Research Projects Agency Network, ARPANet), ставшую популярным в научных и академических кругах средством обмена данными и информацией в электронном виде. Она проложила дорогу к созданию сети, известной сегодня как Интернет.

  • Кен Томпсон (Ken Thompson) разрабатывает операционную систему UNIX, прозванную «хакерской» за наличие средств разработки и компиляторов, да и поддерживали её в основном именно хакеры. И примерно в то же время Дэннис Ритчи (Dennis Ritchie) разрабатывает язык программирования C, несомненно, самый популярный язык хакеров за всё историю компьютеров.

1.1.2.3. Семидесятые

  • Болт (Bolt), Беранек (Beranek) и Ньюмэн (Newman), занимающиеся компьютерными исследованиями для правительства и промышленности, разрабатывают протокол Telnet — открытое расширение ARPANet. Это позволило начать общественное использование сетей, ранее доступных только избранным госслужащим и учёным. Хотя, по мнению многих экспертов по безопасности Telnet также является наиболее незащищённым протоколом для открытых сетей.

  • Стив Джобс (Steve Jobs) и Стив Возняк (Steve Wozniak) создают компьютер Apple и начинают продвижение персонального компьютера (PC). Именно этот компьютер стал своего рода трамплином, с которого многие нечистые на руку пользователи начали изучение техники взлома с помощью распространённого оборудования: аналоговых модемов и сканеров телефонных номеров.

  • Джим Эллис (Jim Ellis) и Том Траскотт (Tom Truscott) создают USENET — систему связи пользователей, своего рода электронную доску объявлений. Сеть USENET быстро становится одним из самых популярных форумов, где люди обмениваются идеями о компьютерах, сетях, и, конечно, их взломе.

1.1.2.4. Восьмидесятые

  • IBM разрабатывает и выпускает на рынок персональные компьютеры на базе процессора Intel 8086, которые благодаря сравнительно невысокой цене оказываются не только в офисах, но и дома. Это послужило признанию PC как распространённого и доступного средства, достаточно мощного и лёгкого в использовании, и проникновению этих компьютеров в дома и офисы, в том числе и злонамеренных пользователей.

  • Протокол управления передачей (Transmission Control Protocol — TCP), разработанный Винтом Серфом (Vint Cerf), разделён на две отдельные части. В результате разделения получается протокол Интернета (Internet Protocol — IP), а объединённый протокол TCP/IP стал современным стандартом связи в Интернете.

  • Создаётся журнал, посвящённый разработкам в области телефонного мошенничества (исследование и взлом телефонных систем), «2600: The Hacker Quarterly», в котором начинается широкое обсуждение взлома компьютеров и компьютерных сетей.

  • Арестована банда 414 (названная по коду региона, в котором она действовала), взломавшая в течение девятидневной серии атак даже совершенно секретные системы, в том числе Лос-Аламосскую национальную лабораторию ядерных исследований.

  • Появляются первые объединения взломщиков, занимающихся поиском уязвимостей в компьютерных и электронных сетях данных — группы «Legion of Doom» и «Chaos Computer Club».

  • В 1986 конгресс США принимает «Акт о компьютерном мошенничестве и злоупотреблениях», причиной этому, в частности, послужили действия Иана Мерфи, также известного как Captain Zap, который взламывал военные компьютеры, похищал информацию из базы данных заказов компаний и звонил по телефону через правительственные каналы связи.

  • Опираясь на этот закон, суд обвинил аспиранта университета Роберта Морриса (Robert Morris), создавшего сетевого червя, и заразившего им более 6000 компьютеров, подключенных к Интернету. Ещё одним громким делом, когда был применён этот закон, было дело бросившего школу Герберта Зинна (Herbert Zinn), взломавшего системы компании AT&T и Минобороны.

  • С целью предотвратить повторение ситуации с червём Морриса, создаётся Центр Реагирования на Компьютерные Инциденты (Computer Emergency Response Team — CERT), призванный уведомлять пользователей о важных проблемах безопасности.

  • Клиффорд Столл пишет детективный роман The Cuckoo's Egg («Яйцо кукушки, или Преследуя шпиона в компьютерном лабиринте». «ИЦ-Гарант», М., 1996.), в котором описывает поиск взломщика собственной системы.

1.1.2.5. Девяностые

  • ARPANet «уходит в отставку». Трафик этой сети переходит в Интернет.

  • Линус Торвальдс (Linus Torvalds) создаёт ядро Linux для использования с операционной системой GNU; масштабная разработка и внедрение Linux осуществляется во многом благодаря Интернету, как средству совместной работы пользователей и программистов. Так как система Linux выросла из UNIX, она становится популярной среди хакеров и администраторов, понявших, что она может быть достойной заменой коммерческим операционным системам (с закрытыми исходными кодами).

  • Создаётся графический веб-браузер, который порождает экспоненциально растущий спрос на доступ к Интернету.

  • Владимир Левин с сообщниками незаконно переводит 10 миллионов долларов на различные счета, взломав центральную базу данных CitiBank. Левин арестован Интерполом, почти все деньги найдены.

  • Возможно, самым титулованным из всех взломщиков является Кевин Митник, взламывавший различные корпоративные системы, похищавший самую разную информацию — от дат рождения до более чем 20000 номеров кредитных карточек и закрытых исходных кодов программ. Он был арестован, обвинён в электронном мошенничестве и провёл 5 лет за решёткой.

  • Кевин Полсен (Kevin Poulsen) и его неизвестные сообщники блокируют телефонную систему радиостанции и выигрывают в викторине машины и денежные призы. Он обвинён в компьютерном мошенничестве и приговорён к 5 годам тюрьмы.

  • Истории о взломе и компьютерном мошенничестве становятся легендами, а взломщики собираются на ежегодной ассамблее DefCon, где они хвалятся своими достижениями и обмениваются идеями.

  • За неоднократный взлом правительственных систем США во время персидского конфликта арестован и осуждён 19-летний израильский студент. Военные назвали его атаки «самыми организованными и систематическими атаками» на государственные компьютеры за всю историю США.

  • Министр юстиции США Джанет Рено (Janet Reno), в ответ на продолжающиеся взломы системы безопасности в госструктурах, учреждает центр защиты национальной инфраструктуры (National Infrastructure Protection Center).

  • Неизвестные преступники захватывают британские спутники связи и требуют выкуп. В конце концов, британское правительство смогло вернуть управление спутниками.

1.1.3. Безопасность сегодня

В феврале 2000 г. производится распределённая атака типа отказ в обслуживании (DDoS — Distributed Denial of Service), поразившая наиболее загруженные сайты Интернета. Атака, на несколько часов сковавшая маршрутизаторы большими пакетами ICMP (что также называется наводнением пакетами ping), привела к недоступности для обычных пользователей сайтов yahoo.com, cnn.com, amazon.com, fbi.gov и некоторых других. Атака была произведена неизвестными нападающими с помощью специально созданных и быстро распространяющихся программ, сканирующих уязвимые сетевые сервера, устанавливающих на этих серверах троянских коней, и набрасывающихся в заданное время на сайты-жертвы. Многие считают причиной этой атаки принципиальные недостатки маршрутизаторов и используемых протоколов, рассчитанных на обработку всех входящих данных, вне зависимости от того кем, куда, и зачем передаются пакеты.

С этого началось новое тысячелетие, когда количество пользователей Интернета по всему миру достигло примерно 945 миллионов человек (по данным алманаха компьютерной отрасли, 2004 г.). И в то же время:

  • В среднем центр координации CERT университета Карнеги Меллон принимает в день около 225 сообщений о существенных нарушениях безопасности. [1]

  • В 2003 г. число поступающих в CERT сообщений об инцидентах выросло до 137 529, с 82 094 в 2002 и 52658 в 2001 г..[2]

  • Ущерб, нанесённый тремя наиболее опасными сетевыми вирусами за последние три года, оценивается в 13.2 миллиарда долларов.[3]

Компьютерная безопасность стала значимой и оправдывающей себя статьёй любого бюджета ИТ. Компании, нуждающиеся в целостности данных и высокой степени доступности, приглашают администраторов, разработчиков и инженеров, чтобы обеспечить надёжность своих систем, служб и информации в режиме 24x7. Стать жертвой злонамеренных пользователей, программ или скоординированных атак — прямая угроза успеху компании.

К сожалению, план по компьютерной и сетевой безопасности может быть весьма сложным, а для его создания требуются исчерпывающие сведений о том, как организация использует, обрабатывает и передаёт информацию. Понимание принципов ведения бизнеса конкретной компанией (и работающими в ней людьми) крайне важно для реализации верного плана безопасности.

1.1.4. Стандартизация безопасности

Предприятия любой отрасли опираются на положения и правила, установленные утверждающими стандарты организациями, например, AMA (American Medical Association — Американская медицинская ассоциация) или IEEE (Institute of Electrical and Electronics Engineers — Институт инженеров по электротехнике и электронике). Подобные идеалы есть и в информационной безопасности. Многие эксперты по безопасности и разработчики опираются на стандартную модель безопасности — CIA (Confidentiality, Integrity, and Availability — конфиденциальность, целостность и доступность). Эта модель из трёх составляющих является общепризнанной при оценке рисков, связанных с важной информацией, и при утверждении политики безопасности. Ниже модель CIA описана более подробно:

  • Конфиденциальность — Важная информация должна быть доступна только ограниченному кругу лиц. Неправомерная передача и использование информации должны быть запрещены. В частности, конфиденциальность информации гарантирует, что финансовая или личная информация клиента не будет получена неавторизованными лицами, например, с целью кражи личности или использования чужой кредитной карточки.

  • Целостность — Изменения информации, приводящие к её потере или искажению, должны быть запрещены. Неавторизованные пользователи не должны иметь возможность изменять или разрушать важную информацию.

  • Доступность — Информация должна быть доступна авторизованным пользователем, когда она им необходима. Доступность — это гарантия того, что информацию можно получать в оговорённом временном интервале. Часто этот интервал определяется в процентах и оговаривается в договоре поддержки, заключаемом между провайдерами сетевой службы и их клиентами.

Замечания

[1]

Источник: http://www.cert.org

[2]

Источник: http://www.cert.org/stats/

[3]

Источник: http://www.newsfactor.com/perl/story/16407.html