Сеть и Безопасность: Хакеров и пиратов "мочат", но с безопасностью всё хуже и хуже

Более удачными на первый взгляд кажутся усилия экспертов и исследователей, направленные на создание более или менее устойчивой практики работы над патчами. В настоящее время эта система, связанная с каким-либо из продуктов, громоздка и хаотична, более того, описание дыр и возможностей их использования чаще всего появляются раньше, чем тот или иной патч. С другой стороны, предложение Microsoft замораживать такую информацию на месяц или вплоть до выхода патча не является оптимальным. Стив Кристи и Крис Вайкопал предложили 7-дневный срок признания дыры и обязанность последовательного отражения информации о том, как проблема решается, каждым продавцом или производителем программного обеспечения. Такая практика в виде негласного соглашения, равно как предоставление точной информации производителями на своих веб-сайтах, могла бы способствовать уменьшению атак и количества уязвимых мест в программном обеспечении.

Тем временем RSA Security Inc. анонсировала новый продукт, который будет включен в Palm OS5. Безопасность, таким образом, охватывает почти любое используемое устройство, группу устройств или корпоративную сеть. Вне зависимости от того, для кого предоставляется продукт по безопасности, - для индивида, мелкого бизнеса или крупной корпорации, - безопасность продается и при этом делается все, чтобы сделать интерактивность пользователя максимально безопасной без лишних отягощающих усилий. Для этого позиционируются пакеты продуктов или сами продукты разрабатываются таким образом, чтобы "сделать защиту незаметной". Другим направлением является усиление роли "железа" в безопасности. Так, IBM и Targus Systems заявили о совместной работе над новым проектом в области биометрической аутентификации пользователя для его доступа к компьютеру.

Сами по себе компании как объекты для угроз ищут различного рода методики для борьбы с человеческим и техническим фактором: слабость системы безопасности может заключаться в людях, а не в сетевой инфраструктуре компании. Поэтому компании проводят корпоративные тренинги для своих ключевых работников, которые ведутся совместно с людьми, получающими специальность следователя по преступлениям в области компьютерных и информационных технологий. Такие методы позволяют компаниям отслеживать злоупотребления среди работников и ограждать компании от инсайда, саботажа или внутренней атаки.

И хотя уголовное преследование за действия, связанные с осуществлением атаки или иным злоупотреблением, еще не имеет четкой основы, т.к., во-первых, эта практика только складывается, во-вторых, она не до конца однозначна в силу сложности судебного разбирательства дел, тем не менее, некоторым корпорациям удаются показательные выступления, так, например, недавно был осужден программист, который, как было доказано, нанес своей бывшей компании ущерб в размере 10 миллионов долларов. Такого рода разбирательство уже третье, и пусть срок заключения невелик - всего 3,5 года, мы, тем не менее, можем лицезреть на прецедент, который становится правилом. Другим нашумевшим "судебным" событием в данной сфере стал 5-летний приговор и штраф в $250000 для Джона Санкуса, обвиненного судом Филадельфии в пиратстве. И пусть он обвинялся в том, что "представлял серьезную угрозу для целостности электронной инфраструктуры американского общества", нажим такого рода означает, что, возможно, наступила электронная эпоха "охоты на ведьм".

Итак, борьба с пиратством продолжается, более того, имеется желание законодательно ограничить распространение контента. Также в США ужесточился контроль за экспортом криптографических систем, так, недавно одна из фирм была оштрафована Министерством торговли. Тем временем Сенат США одобряет более серьезные наказания для киберпреступников на все той же волне антитерроризма. При этом предлагается узаконить возможность раскрытия переписки, инициированную любым министерством или ведомством, если есть подозрение в причастности отправителя/получателя к широкому кругу преступлений. В свою очередь, в публичную инфраструктуру хотят встроить элементы CRM для осуществления слежения за людскими потоками: кто куда приехал, кто где работал, учился, что с кем когда-либо происходило и т. д.. Однако, здесь можно увидеть попытку некоторых производителей продать продукт везде, где это можно. Тем более, опросы уже зафиксировали такую тенденцию: в Европе до 30% покупок, связанных с сетевой безопасностью, оцениваются либо как ошибочные, либо как расточительные. На фоне событий прошлого года продать все, что возможно, не так трудно, хотя иногда принимаются более простые решения, например, все "важные" данные с публичных сайтов убрать в силу их "критичности". С другой стороны, не только частные корпорации продвигают свои решения для правительства, но и правительства некоторых стран, например, США предлагают компаниям пойти навстречу и поделиться имеющимися данными о потребителях после внесения необходимых соответствующих корректив в закон о свободе информации.

Можно предположить, что в целом конкуренция между субъектами угрозы и системами защиты углубляется: многообразие "форм жизни" нуждается в различных средствах защиты. Недавно, в достаточно новой среде была обнаружена дыра, которая позволяла запустить вредоносный скрипт в виде трояна на машине пользователя во время просмотра "зараженного" Flash'а. Эксперты отмечают, что файлы MP3 также небезопасны. Несмотря на сложность и разнообразие угроз, накопленный опыт и знание позволяют предупредить негативное развитие событий. Так, например, производители антивирусов, изучая код типичных и нетипичных вирусов, разрабатывают не только методы лечения и обнаружения, но и проактивную "стратегию" обработки вирусов, - иначе им просто не удастся угнаться за создателями вредоносных программ. Тем более, что у последних остается широкое поле для деятельности: баги и дыры появляются перед нами как из рога изобилия.

На позапрошлой неделе были выпущены патчи к "критическим" дырам в среде IE 6 и IE соответственно: уязвимые места, означенные как XMLHTTP ActiveX control и VBScript. Найденные несколько месяцев назад, они представляют собой серьезную опасность для пользователя, позволяя проникать в его локальные файлы или запускать удаленно программы. Об этом предупредили многие издания и несколько сетевых групп, следящих за безопасностью. Также до сих пор изучаются возможности дыры в SNMP: ее использование, как отмечают эксперты, легче заметить по неудавшейся атаке, что затрудняет всю ситуацию. Также в конце февраля была выпущена новая версия языка PHP, которая зафиксировала дыру, найденную в середине прошлого месяца.

Несмотря на то, что февраль зарекомендовал себя как спокойный месяц в отношении появления новых вирусов (всего 135 тысяч вирусов по сравнению с 241 тыс. в январе и 480 тыс. в декабре прошлого года), начало марта, особенно конец первой и начало второй недели, было оглашено ревом предупреждений о появлении новых версий вредоносных программ. Использовать хорошие в плане социальной инженерии возможности, такие, например, как день Св. Валентина, создателям вирусов в феврале не удалось. По данным "Лаборатории Касперского", лидерами февраля являлись старые добрые SirCam, BadTrans-B, Magistr-B. По другой версии, тройка лидеров февраля выглядела следующим образом: Klez (61,5%), BadTrans.B (28,5%), SirCam (1,5%). Зачастую создатели вирусов действуют неоригинально: старый код просто переделывается под текущий "информационный" повод. Но при этом написание вредоносного кода становится групповой деятельностью, поэтому, даже несмотря на то, что число вирусов уменьшилось, угроза ожидает пользователя на каждом витке его интерактивности. Например, недавно очередной вирус распространялся как электронное письмо с фотографиями Бритни Спирс.

И хотя он не стал "массовым", исследователи отмечают, что старые трюки все еще работают, - просто вирус не перешел через черту критической массы первоначального числа заражения, чтобы сделать затем стремительный рывок. Кстати, почти незамедлительно у вируса появилась копия с другим "старым" кодом - не использовать такую возможность никак нельзя. В целом, несмотря на мартовское "замедление", нельзя говорить об общей понижательной тенденции: как показывает статистика, количество атак и инцидентов за последние 20 месяцев демонстрирует отменный рост.

Что касается других тем вирусологии, появившихся в прошедшие две недели, то следует отметить огромное внимание, которое уделили средства массовой информации новости о том, что один из вирусов, нацеленный на платформу .Net, создан женщиной. Хотя, конечно, верить в Сети, что кто-то женщина, а кто-то - мужчина не стоит: ведь исследования показывают, что до 60% активных пользователей используют понравившуюся им "идентичность". Возвращаясь к вышеупомянутому вирусу и феминистическому посулу, который вложили медиа в создание этого вируса, названного, кстати, Sharp или Sharpei, следует отметить, что распространялся он как важное обновление Windows. Через несколько дней схожим способом (как Internet Security Update) начал распространяться червь под названием Gibe. Несмотря на небольшую деструктивность, отмеченную экспертами, вирус способен устанавливать скрытый вход для проникновения к файлам на зараженной машине.

Вирусы. Казалось бы, их и так много, но иногда они могут стать предметом забавы широких масс, т.к. для их быстрого создания был даже разработан специальный сайт, на котором работали механизмы автоматической генерации вирусов. Более того, на нем были доступны коды старых удачных решений. Недавно этот злополучный сайт был закрыт. Также на прошлой неделе отметился сверхразрушительный и при этом все еще не умирающий Klez-e, использующий несколько дыр в среде IE. Исследователи ведут разработку возможностей дыры, найденной в PHP, при этом количество "дырявых" серверов, по их оценкам, достигает миллиона. Из этого делается вывод, что в случае, если ничего не предпринято, вредоносная программа, подобная Code Red, может заразить большое количество серверов и нанести существенный вред, хотя никто не говорит о полной аналогии.

В срезе этой проблемы, а именно обилия дыр в программных продуктах, стоит вспомнить о текущей ситуации с Microsoft: обозреватели отмечают, что, несмотря на громкое заявление, сделанное главой компании пять недель назад, дело не сдвинулось с мертвой точки. Недавно, кстати, была найдена еще одна дыра в Java, реализация возможностей которой имела место под различными браузерами, в том числе IE. У уязвимости была необычная особенность: опасность возникала в случае, если пользователь работал в Сети с прокси. Также не все отлично, как показывают исследования, в сфере предоставления услуг ASP: по результатам IDC, 25% игнорируют вопросы безопасности, не практикуя какие-либо серьезные меры.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Между тем, как предсказывалось, бюджеты компаний, связанные с сетевой безопасностью, растут: например, прогнозируется, что рынок межсетевых экранов достигнет 3,8 миллиардов долларов к 2005 году, а рынок железа VPN - 2,9 миллиардов. Однако настоящие исследования показывают, что не наличие дыр, а простое человеческое любопытство представляет собой главную опасность для корпораций, при этом самой что ни на есть уязвимой частью систем до сих пор являются простые и легкие пароли корпоративных пользователей.

Возвращаясь к иным корпоративным реалиям, следует отметить, что, несмотря на то, что безопасность стала важной проблемой, многие компании находятся только в начале пути: в 50% компаний выполняется анализ рисков и только 7,1% собираются нанять спецперсонал. Кроме внутренних источников угрозы, существует вероятность внешнего взлома: например, недавно был взломан небезызвестный Morpheus. С платформой обмена данными давно было что-то не в порядке, а несколько недель назад он вообще перестал работать. Следует отметить, что хакерская деятельность становится также групповой распределенной, сплоченной деятельностью, так иногда гораздо легче взломать код программы или тот или иной сайт.

Тем временем компании, представляющие продукты на рынок информационной безопасности, идут на уже ставшие стандартными шаги: например, на прошлой неделе компания Bodaction предложила 100000 долларов тому, кто взломает схему шифрования системы Hydra Internet Server. В свою очередь, в настоящее время разработчики антивирусных программ работают над тем, чтобы сделать реакцию на появление вируса быстрее. Так, например, в Sophos работают над созданием схемы обмена данными с продуктом MailMonitor gateway клиентов: в случае появления нового вируса быстро пишется обновление, которое позволит заблокировать все зараженные письма на входе в систему клиента. Блокируя червь таким образом, удается уничтожить его в зародышевом состоянии, пока он не набрал критическую массу и не стал "массовым".

Большую шумиху на прошлой неделе подняла тема возможной продажи технологии PGP компанией Network Associates: компания сначала заявила о прекращении работы над линейкой продукта, затем о его выставлении на продажу, а после о намерении оставить продукт за собой. Компания уже около полугода как избавляется от ненужных, как ей кажется, активов. Вот наступила очередь и пакета PGP Desktop, который многие пользователи признают в качестве одной из наиболее распространенных платформ для осуществления асимметричного шифрования сообщений и файлов. Правда, непонятно, почему решено было выставить на продажу в общем-то уникальный продукт, который весьма известен, если не сказать, раскручен. При этом сначала говорится о продаже, а затем руководство отнекивается, подчеркивая, что никогда не видело в PGP Desktop продукт, из которого можно извлечь выгоду. Сообщения о продаже PGP Desktop вводили в недоумение, т.к. PGP включен во многие другие продукты корпорации Network Associates. Впрочем, до сих пор ситуация не разрешилась окончательно. Единственное, что известно, так это то, что корпорация прекращает маркетинговые акции и разработки, связанные с PGP, т.к. "продукты, касающиеся privacy, очень сложно продать". В свою очередь, создатель PGP Фил Циммерманн заявил, что "PGP может быть спасен... это не продукт или база общих кодов, - это больше - это, можно сказать, общественное образование, т.е. нечто большее, чем комплекс решений, принадлежащий одной компании". Все происходящее с PGP также не говорит о том, что работы open source над проектами OpenPGP будут закрыты или приостановлены, в случае замораживания PGP NA, они, наоборот, приобретут дополнительную актуальность. Кстати, для контраста: почтовая служба США тоже отказывается от своего проекта защищенной электронной почты по причине невозможности зарабатывать на нем деньги. То есть это невыгодно или, может быть, просто противоречит "руководящей линии партии"?!

Александр Бабкин, Газпромбанк: Сейчас иностранные ИБ-решения в Газпромбанке замещены на 65%

безопасность

Прошло более полугода с события 9/11, но до сих пор не утихают споры, как соотносятся публичная безопасность и privacy. Многие эксперты под давлением или впечатлением событий прошлого года склоняются к тому, что частная информация и privacy должна быть отделена от понятия анонимности: после того, как произошло крушение WTC, об анонимности не может быть и речи, особенно в вопросе использования людьми транспортных средств повышенной опасности, - утверждают апологеты необходимости биометрического сканирования и слежения в национальных масштабах США. Однако, на этом давление на privacy не заканчивается: например, администрация США упорно продавливает внесение корректив и изменений в законодательство о возможном слежении за электронной перепиской по предложению любого государственного органа, будь то ведомство или министерство, а не по судебному ордеру.

Этим действия правительства США не ограничиваются: также идет работа над унификацией и формализацией общего уровня безопасности для всех министерств и ведомств. С другой стороны, кроме создания стандартов осуществляются реальные действия: например, Федеральная Торговая Комиссия приняла конкретное решение по нелегальному использованию финансовой информации тремя брокерами. Этим ФТС не ограничилась: конкретные мероприятия были произведены против компании, которая рекламировала свои услуги при помощи спама, - ее операции по решению суда были прекращены.

Тем временем частный сектор не дремлет: он предлагает многочисленные решения государственным органам для защиты данных: например, Tibco Software Inc. предложила Intelligence Analyst Framework, фактически в виде EAI (системы интегрированных приложений для предприятия), которая позволяет хранить информацию и обмениваться данными между органами.

Не обошлось за прошедший период времени без серьезных склок: сначала была обнародована информация о том, что Network Associates публично обвиняют в желании сократить критику собственных продуктов; затем известное издание The Register и корпорация Oracle не сошлись во мнении насчет статьи Staying on top of Oracle's holes. Кстати, Oracle демонстрирует хорошую мину при хорошей игре, можно также понять и The Register: без критики, своих выводов и небольших преувеличений/неточностей статья никому не будет интересна, но при этом позиция издания пусть притязательна, но весьма и весьма обоснована. Резюмируя конфликты интересов, также следует упомянуть о том, что компания Compuware подала иск на IBM в связи с несанкционированным использованием исходных кодов Compuware. В свою очередь, Canal+ Group подала иск на NDS Group, обвиняя последнюю в том, что эта компания потратила много времени и денег для того, чтобы взломать код или способствовать взлому смарт-карт для цифрового телевидения Canal+ Group. По другой версии, код был украден для того, чтобы наводнить пиратскими версиями смарт-карт рынки Европы и некоторых стран тихоокеанского региона.

Возвращаясь к вопросу уязвимости продуктов или их "ненадлежащего" отношения к privacy пользователя, необходимо отметить следующие новости: так, на этой неделе выяснилось, что Netscape Navigator коллекционирует запросы при поиске, отсылая информацию о тексте и контексте запроса на сервер info.netscape.com. По всей видимости, лавры Microsoft не дают покоя основному конкуренту. Также на этой неделе была обнародована информация о том, что в Linux была найдена серьезная дыра в виде double-free vulnerability, которая позволяла скомпрометировать работу машин, использующих Linux. Чуть более подробно об уязвимости можно узнать здесь. Хотя без участия Microsoft на этой неделе не обошлось: сначала была обнаружена исследователями очередная уязвимость в виде ошибки переполнения буфера в среде Windows 98, NT 4 и 2000. Она позволяла перезаписать содержимое буфера и запустить вредоносную программу на машине пользователя. Затем была обнаружена уязвимость в среде IE 6, так называемая Codebase Localpath vulnerability, которая позволяла хакеру выключить машину пользователя, если он зашел на специально построенный веб-сайт.

Несмотря на то, что неделя заканчивается, она заканчивается на "высокой" ноте: вчера были обнаружены вирус Jac, нацеленный на платформу Linux, и вирус FBound-C, который распространялся в виде письма с прикрепленным файлом patch.exe. Что касается других интересных новостей, то следует отметить информацию о том, что группа исследователей разработала новый способ перехвата незашифрованного цифрового трафика, передаваемого по беспроводным сетям, а также то, что на одном из веб-сайтов стала анонимно предлагаться система сетевого слежения. Также появилась информация о "новых" решениях по взлому ключей шифрования длиной более 2048 бит. Ох и достается этому шифрованию в последнее время: все пытаются его ломать, кто-то желает от него избавиться, а на нашем рынке системы такого рода, по большому счету, стараются не афишировать - о них обычно умалчивается, кроме редких исключений.

Поделиться

Подписаться на новости Короткая ссылка