Актуальность задачи защиты информации, хранимой в компьютерных системах (КС), в настоящее время не вызывает сомнений. Многочисленные примеры атак КС как хакерами-одиночками, так и преступными группами, наглядно доказывают, что современная КС должна быть надежно защищена от вторжения извне.
Однако по поводу того, как конкретно должна быть организована защита КС, единого мнения до сих пор не существует. Это и неудивительно: наука о защите информации в КС еще очень молода, и необходимая теоретическая база просто не успела сформироваться. В своей массе администраторы КС при определении оптимальной конфигурации подсистемы защиты ориентируются не на единый научный подход, а на многочисленные, зачастую противоречащие друг другу рекомендации, которыми изобилует литература по компьютерной безопасности и страницы Интернета. Некоторые из этих рекомендаций весьма полезны, другие же являются явными "суевериями", и данная статья посвящена развенчанию некоторых из таких "суеверий" в области компьютерной безопасности.
Миф 1: Чем сильнее защита, тем лучше для всех На самом деле верно следующее утверждение: чем лучше система защищена от несанкционированного доступа (НСД), тем труднее с ней работать пользователям и администраторам. Система защиты, не обладающая интеллектом, не всегда способна определить, является ли некоторое действие пользователя злонамеренным, а потому она либо не пресекает некоторые виды НСД, либо запрещает некоторые вполне легальные действия пользователей.
Кроме того, любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности, и чем больше в системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты.
Наконец, следует иметь в виду, что если уровень защищенности системы превышает уровень C2 по "Оранжевой книге", ее подсистема защиты потребляет значительную часть ресурсов системы (для систем уровня B1 эта доля составляет 20-50%, а уровня B2 она может превышать 90%).
Таким образом, не следует делать защиту системы чрезмерно мощной. Для каждой системы существует оптимальный уровень защищенности, который и нужно поддерживать.
Миф 2: Если программное обеспечение системы защиты сертифицировано по классу C2 "Оранжевой книги" или выше, значит, защита достаточно эффективна и надежна Утверждение, вынесенное в заголовок, кажется вполне правдоподобным. Действительно, разве может такая уважаемая организация, как NCSC, выдать сертификат на слабозащищенную систему? Конечно же, нет. Однако следует иметь в виду следующие соображения:
- Защищенность системы определяется не только установленным в ней программным обеспечением, но и политикой безопасности. Фактически сертификат NCSC описывает максимальный уровень защищенности, который может быть достигнут при использовании данного программного продукта. Например то, что ОС SCO UNIX сертифицирована по уровню C2, означает, что, вообще говоря, существует политика безопасности, при неукоснительном соблюдении которой уровень защищенности ОС будет соответствовать указанному (это утверждение верно только при использовании той же аппаратной платформы и в той же ее конфигурации, при которой проводились соответствующие сертификационные испытания - Прим. ред.). К каждому сертификату NCSC обязательно прилагается документ, описывающий требования к политике безопасности, при которой может быть достигнут уровень защищенности, соответствующий сертификату. Например, для ОС Windows NT некоторые (далеко не все) требования безопасности по уровню C2 выглядят следующим образом:
- в BIOS компьютера установлен пароль на загрузку;
- на жестких дисках используется только файловая система NTFS;
- запрещено использование паролей короче шести символов;
- запрещен анонимный и гостевой доступ;
- запрещен запуск любых отладчиков;
- запрещено выключение компьютера без предварительной аутентификации пользователя;
- запрещено разделение между пользователями ресурсов сменных носителей информации (гибких дисков и CD-ROM).
Очевидно, что эти требования существенно затрудняют работу с системой как пользователей, так и администраторов: требование, запрещающее запуск любых отладчиков, тем самым запрещает в защищенной системе любое программирование; запрет анонимного и гостевого доступа не позволяет размещать на дисках компьютера общедоступные Web-страницы; запрет совместного использования накопителей CD-ROM во многих случаях также неприемлем. Требование же, запрещающее пользователям самостоятельно выключать компьютер, вообще практически невыполнимо - для этого необходимо физически защищать не только корпус компьютера, но и провода электропитания и электрические розетки. - Многие требования "Оранжевой книги" уже устарели. Например, согласно ей минимальная длина пароля, равная шести символам, считается безопасной. В те времена, когда писалась "Оранжевая книга", мощность вычислительной техники была невысокой, и указанная длина паролей действительно обеспечивала безопасность, но на современном компьютере пароль такой длины может быть подобран всего за несколько минут.
- В "Оранжевой книге" не уделяется должного внимания некоторым важным в настоящее время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после ее написания.
Миф 3: Если программное обеспечение и политика безопасности КС соответствуют классу защиты C2, значит, защита системы надежна Этот миф является несколько более "продвинутой" версией предыдущего. Выше уже говорилось, что стандарты защиты КС подразумевают, что не только программное обеспечение, но и политика безопасности удовлетворяет их требованиям. Но достаточно ли соответствия подсистемы защиты КС стандарту C2 для обеспечения надежной защиты? На этот вопрос ответом будет однозначное "нет".
Дело даже не столько в том, что стандарт C2 (как и большинство других стандартов компьютерной безопасности) уже во многом устарел, а в том, что невозможно построить эффективную и надежную защиту КС, основываясь только на руководящих документах, - ведь хакера не интересует, каким стандартам удовлетворяет конфигурация подсистемы защиты КС, для него важно только то, сможет ли он взломать эту защиту. А защитить систему от хакера и добиться соответствия конфигурации системы некоторому стандарту - это совсем разные вещи.
Очевидно, что к защите разных КС предъявляются разные требования. Защитить автоматизированную банковскую систему (АБС) - это совсем не то же самое, что защитить Web-сервер. Но стандарт C2 никак не учитывает особенности конкретных систем.
Кроме того, ни один документ не может охватить все ситуации, которые могут возникнуть в процессе функционирования КС. Ни в "Оранжевой книге", ни в документах Гостехкомиссии РФ нет ни слова про SYN flood, а ведь это - один из опаснейших типов атак для IP-сервера. Хакеры изобретают новые атаки на защищенные КС практически каждый день, а новые стандарты защиты КС появляются гораздо реже.
Таким образом, при организации защиты КС нужно ориентироваться не только на стандарты компьютерной безопасности, но и на конкретного хакера. Надежно защищена не та КС, которая удовлетворяет требованиям какого-то стандарта, а та, защиту которой хакер не может взломать.
Впрочем, из сказанного вовсе не следует вывод, что стандарты защиты КС не нужны. Оно означает только то, что эти стандарты нельзя воспринимать как догму.
Миф 4: Хакер всегда атакует систему через глобальные сети Рассуждая о хакерах, авторы научных книг и статей очень часто "зацикливаются" на защите от злоумышленника, атакующего защищенную КС из Интернета, и совершенно не учитывают, что существует множество других методов проникновения в защищенные системы.
Например, известный американский хакер Кевин Митник взломал защищенный сервер одной компании, поковырявшись в мусорном ящике, стоявшем рядом с ее зданием: после долгих поисков он нашел обрывок бумаги, на котором был записан пароль для доступа на сервер. В другой раз Митник позвонил администратору КС и ввел его в заблуждение, убедив в том, что он является легальным пользователем системы, забывшим свой пароль. Администратор сменил пароль тому пользователю, за которого Митник выдавал себя, и сообщил его Митнику.
Таким образом, защищая КС, нельзя ограничиваться только программно-аппаратными средствами и пренебрегать административными, организационными и оперативными мерами защиты.
Миф 5: Хакеры всемогущи Распространенность этого мифа, видимо, объясняется определенным "благоговением" среднего обывателя перед "всемогущим" хакером. Большую роль в развитии такого отношения к хакерам сыграли художественные фильмы, где они являются одними из персонажей. Действия, предпринимаемые ими на экране, как правило, не имеют вообще никакого отношения к реальности. Чего стоит, например, "Парк юрского периода", где в ответ на неправильно введенный пароль на экране компьютера появляется бесконечно зацикленный мультфильм (!), изображающий администратора сети (!), который грозит нарушителю пальцем с экрана и говорит через динамики компьютера "Пароль неправильный"! Какой нормальный администратор допустит, чтобы сервер тратил столько своих ресурсов только на то, чтобы выдать пользователю сообщение об отказе в доступе? Чуть позже в том же фильме состоялся характерный диалог между двумя юными "хакерами":
- Мы не знаем пароль!
- Зато я знаю эту систему защиты (в англоязычном варианте фильма вместо этой фразы девочка-хакер говорит: - It"s UNIX). Через несколько минут мы ее вскроем!
И действительно, через несколько минут система защиты была вскрыта, причем то, что в этот промежуток времени появлялось на экране компьютера, вообще не поддается никакому описанию.
Ажиотаж вокруг хакеров создает в сознании людей, далеких от проблем компьютерной безопасности, их культивируемый СМИ, а также художественной литературой и искусством образ, не имеющий с действительностью практически ничего общего: они считают, что хакер - это своего рода волшебник, который запускает одну из своих "волшебных" программ, указывает имя сервера, который надо взломать, и уже через несколько секунд его защита оказывается взломанной.
Для того чтобы понять, насколько это представление неправильно, достаточно почитать любой из информационных бюллетеней в Интернете, посвященных проблемам хакерства. Например, согласно бюллетеню "Информационная безопасность - 1996", в 1996 г. во всем мире было зафиксировано всего 18 успешных случаев взлома КС в целях обогащения или шпионажа с суммарным ущербом 35,7 млн долл. США (для сравнения: суммарный ущерб от телефонного мошенничества за тот же период времени составил более 80 млн долл. США, а от ошибок в программном обеспечении - более 700 млрд долл. США), причем за этот год было арестовано более 200 криминальных хакеров (т. е. хакеров, имеющих целью нанесение финансового или иного ущерба - Прим. ред). Все это как-то не вяжется с представлением о всемогуществе хакеров.
Однако не стоит и недооценивать угрозу защищенным КС, исходящую от хакеров. Криминальные хакеры опасны не более, но и не менее, чем другие преступники. Все-таки 18 успешных краж со средним ущербом почти 2 млн долл. США - это не та опасность, от которой можно отмахнуться. Да и неизвестно, сколько успешных атак хакеров остались не замеченными и не фигурируют в приведенной статистике.
Миф 6: Стать хакером очень просто Многие считают, что для того, чтобы стать хакером, достаточно выйти в Интернет и зайти на один из хакерских серверов. Действительно, в Интернете имеется множество серверов, владельцы которых громогласно объявляют себя хакерами. Например, поисковая служба Infoseek на запрос "hacker" выдает список из 131 тыс. страниц, а AltaVista - из 425,5 тыс. Однако мне так и не удалось найти ни одного сервера, который содержал бы хоть сколько-нибудь полезную информацию. Как правило, все, что находится на "хакерских" серверах - это "философские" статьи о хакерстве, пропаганда хакерских идеалов и реклама достижений отдельных хакеров. Характерно, что спонсорами многих "хакерских" серверов являются фирмы, зарабатывающие деньги распространением в Интернете порнографии.
Та же ситуация имеет место в отношении хакерских телеконференций. Например из 100 последних на 18:00 30 июня 1998 г. сообщений в конференции alt.hacker 26 составили шутки, жалобы и оскорбления в адрес других участников конференции, 63 - дискуссии на общекомпьютерные темы, в том числе выражение неудовольствия качеством программных продуктов фирмы Microsoft, а также реклама Интернет-серверов и откровенные глупости, написанные людьми, чья квалификация, мягко говоря, оставляет желать лучшего. И только 11 сообщений с большой натяжкой можно хоть как-то отнести к "хакерству":
- шесть сообщений - вопросы о том, есть ли в Интернет хоть один хакерский сервер, содержащий хоть какую-нибудь ценную для хакера информацию;
- два - "философские" дискуссии о хакерстве;
- два - обмен исходными текстами вирусов;
- одно сообщение посвящено телефонному мошенничеству (phreaking).
После всего этого возникает естественный вопрос: а где же хакеры?
Хакеры, бесспорно, существуют, но те из них, кто действительно являются таковыми, а не только называют себя так, не ищут сомнительной популярности, рекламируя себя в Интернете. Конечно, есть и исключения, но в основном квалифицированные криминальные хакеры остаются в тени вплоть до момента ареста.
Поэтому "хакерское" сообщество в Интернете, как правило, ничем не может помочь начинающему хакеру, и для того, чтобы реально стать хакером, нужно долго и упорно учиться, как ни банально это звучит.
Миф 7: Хакеры в основном занимаются взломом банковских систем с целью обогащения Для того чтобы развенчать этот миф, достаточно просмотреть список последних десяти Интернет-серверов, взломанных, по данным Archive of hacked websites (http://www.onething.com/archive), хакерами в 1998 г. и убедиться, что их целями было или обыкновенное хулиганство, или размещение на них каких-то заявлений общественно-политического содержания, либо это были показательные взломы с оставлением на "домашней" странице, как это было сделано в отношении ряда серверов вооруженных сил США, информации для системных администраторов по вопросам, касающимся повышения уровня их знаний в области компьютерной безопасности. И не было зафиксировано ни одной атаки, направленной на обогащение или получение конфиденциальной информации.
Конечно, хакеры, атакующие банковские системы, тоже существуют, но их - единицы (выше уже упоминалось, что в 1996 г. было зафиксировано всего 18 успешных хакерских атак, целями которых были обогащение и шпионаж, но из них банки стали жертвами только в пяти случаях). Основная же масса хакеров получает моральное удовлетворение от самого факта удачного проникновения в чужой защищенный сервер (по данным того же бюллетеня "Информационная безопасность - 1996", в 1996 г. было зафиксировано 25 успешных атак из хулиганских побуждений, повлекших серьезные последствия, и еще в 16 случаях хакеры, не доводя атаку до конца, сообщали администрации атакованных серверов об обнаруженных слабостях в подсистемах их защиты). Таким образом, в среднем (а 1996 г. в этом смысле ничем не выделяется среди остальных) атаки банковских систем с целью обогащения или шпионажа составляют менее 10% всех успешных атак защищенных КС. Если же иметь в виду, что в подобные бюллетени попадают сведения только о наиболее серьезных атаках защищенных КС, а большинство хулиганских атак остаются вне поля зрения CERT (Computer Emergency Response Team) и подобных ей организаций, профессионально занимающихся фиксацией и анализом действий злоумышленников в компьютерных сетях, то в реальности доля "банковских" взломов оказывается значительно меньшей.
Впрочем, сказанное не означает, что хакеры не представляют опасности для банков: ведь как ни как, а только в 1996 г. потери от каждого взлома АБС составили от 10 тыс. до нескольких млн долл. США. Просто следует иметь в виду, что хакеры, зарабатывающие деньги взломом АБС, хакеры, оставляющие на Web-серверах "надписи" типа "здесь был Вася", и хакеры, ведущие дискуссии в телеконференциях - это совершенно разные люди, а потому опасность, исходящую от хакеров, не следует преувеличивать, но нельзя и преуменьшать.