Поделиться
Сеть и Безопасность: Ключ от "черных дыр", где деньги лежат
Ефим ОсиповNet Sesurity News Несмотря на желание большинства корпораций и законодателей ограничить поле исследований в сфере информационной безопасности, на прошедшей неделе двое молодых британских ученых объявили, что они разработали программу, которая позволяет получать доступ к пин-номерам. Им удалось "озадачить" криптопроцессор IBM 4758, который применяется для защиты доступа к клиентским данным в банковской сфере, настолько, что он несанкционированно выдает ключ шифрования. Все, что нужно для этого, - это 20 минут и $995 для покупки Altera FPGA. Как говорится, любая задача решается посредством некоторого количества денег и времени. Как заявили исследователи, основой их мотивации явилось желание показать силу разработанного ими метода, при этом корпорация IBM, по их словам, была проинформирована об их гипотезе еще год назад. Таким образом, почти любой пин-номер, теоретически, может быть доступен для взлома. Пока о позиции банков мало что известно.
На этой неделе после проверки ведущих федеральных структур США оказалось, что ключевые подразделения находятся в очень плачевном состоянии, если их рассматривать с точки зрения поддержания режима информационной безопасности. Большинство структур чересчур "открыты" к проникновению, а закрытые данные могут стать легкой добычей для злоумышленников. Самую высокую оценку, кстати, получил Национальный Научный Фонд.
Две трети министерств и ведомств федерального правительства США получили самую низкую оценку по 12-бальной шкале, в том числе Министерство обороны и Министерство юстиции. И это, несмотря на весь масштаб активности, которая предпринимается в США после событий 11 сентября в проекции угроз по всемуспектру безопасности, в том числе информационной безопасности. Как иронично заметил один из аудиторов, "между объемом бюджета и безопасностью того или иного департамента нет никакой значимой связи". При этом палата представителей на этой неделе одобрила законопроект по финансированию, которое должно усилить уровень информационной безопасности публичного сектора США.
Это, кстати, не совсем устраивает некоторые корпорации: например, глава EDS Дик Браун (Dick Brown) заявил, что в цифровой экономике нет национальных границ, поэтому акцент необходимо делать не только на укреплении публичной инфраструктуры, но и на развитии всей отрасли, специализирующейся на сетевой безопасности, т.к. ущерб от цифровых атак, если не сейчас, то в ближайшем будущем, превысит возможный ущерб от атак физических.
Все это ярко демонстрирует уязвимость информационной инфраструктуры федеральных ведомств США, а также то, что до сих пор нет ни единого мнения, ни определенных программ. Тем временем, на этой неделе с одним из ведомств произошла забавная вещь: в течение некоторого времени был доступен для несанкционированного использования один из почтовых серверов Федерального Управления по Авиации, попав на время в список Mail Abuse Protection Systems (MAPS).
Эхо событий 11 сентября до сих является хорошим поводом для компаний эффективно продвигать свои инициативы и продукты: так, шотландская фирма-разработчик Maximedia заявила, что испытывает наплыв заказов на свои продукты, которые помогают работникам ознакомиться с угрозами и выработать схемы поведения, которые обезопасили бы данные, которыми располагает фирма-работодатель. В свою очередь, корпорация IBM заявила о своей новой инициативе в области безопасности: компания собирается основать IBM Privacy Institute и Privacy Management Council для разработки наиболее адекватных потребностям пользователей эффективных средств обеспечения privacy.
Лаборатория Касперского на этой неделе отметилась тем, что, выбрав отличный момент, заявила на конференции Comdex о своем новом продукте, который позволяет осуществлять фильтрацию вирусов, распространяемых по электронной почте, на уровне почтовых серверов, поддерживающих протокол SMTP. Ответ не заставил себя ждать: компания Micro Trend также предложила на этой конференции схожий по функциональности продукт InterScan Messaging Security Suite for SMTP Version 5.0. Как отмечают большинство специалистов в ходе встреч и обсуждений в рамках конференции, количество вирусов из года в год уменьшается, но при этом характер их кода и алгоритма действия многократно усложняется.
Объединенная Европа, возможно, даст зеленый свет запрету спама, при этом каждой из стран следует решить, ввести ли ей запрет или нет. Законодатели хотят защитить пользователя при помощи введения для тех, кто осуществляет рассылку рекламных сообщений, обязанности получить предварительное разрешение пользователя. Другим значимым решением в масштабе Европы стал подготовленный Советом Европы проект соглашения по вопросам киберпреступности. Само соглашение должно быть подписано министрами иностранных дел стран, входящих в Совет Европы, 23 ноября. Критические настроенные группы отмечают поспешность составления проекта, его слабую проработку, закрытость для общественности, а также его связанность с соответствующими кардинальными изменениями, внесенными недавно Сенатом в законодательство США.
Хотя упрекнуть Европу в потакании национальным интересам США напрямую весьма трудно: например, просьбу ввести обязательное долговременное хранение информации для повышения эффективности борьбы с терроризмом Европарламент отклонил. Несмотря на стойкое желание американской администрации сделать одинаковым информационный климат по обе стороны Атлантики, европейские круги, по всей видимости, сохранят декларируемую приверженность к укреплению состояния privacy в Европе. Например, Европа готова запретить использование cookies, так как "любое вмешательство в частную жизнь требует соответствующего согласия". Такое революционное предложение не могло остаться незамеченным, так как у cookies, кроме негативных качеств, по мнению издателей и провайдеров доступа в интернет, есть и положительные стороны, поэтому бурные споры на предмет cookies еще впереди.
Корпорации, специализирующиеся на продуктах сетевой безопасности, до сих пор неохотно делятся информацией с публичными органами в связи со слабым доверием к последним. Другое исследование показало, что до сих пор большинство топ-менеджеров (60%) рассматривает информационную безопасность своих корпораций как "проблему технологий" (technology problem), а другая часть (40%) - как "стратегическую проблему для бизнеса их корпорации" (strategic business issue). Хорошей новостью является то, что 90% респондентов заявили, что в их корпорациях разрабатывается четкая политика по вопросам информационной безопасности и проводятся тренинги среди персонала.
Смущает то, что топ-менеджмент из-за своей инертности запаздывает с изменением политики внутри компаний, как минимум, на полгода. Очевидно, что смена приоритетов требует многочисленных согласований внутри корпораций, а активное давление общественного мнения рисует "иллюзорные" картины источников опасности: большинство топ-менеджеров считает хакеров и внешние атаки наиболее опасными для бизнеса их компаний, но при этом, по статистике, до 80% злоупотреблений берут начало внутри компании.
Одно из интересных исследований Сети, которое проводилось в течение последних трех лет, показало, что в Сети существуют целые "черные дыры" - закрытые зоны, которые используются для осуществления атаки или, например, несанкционированной коммерческой рассылки. Система маршрутизаторов как бы не замечает данных закрытых пространств, так как она была задумана и реализована, когда Сеть пребывала еще в состоянии "невинности". Поэтому эта часть Сети может быть использована в каких угодно деструктивных целях. Атака с этого уровня крайне опасна, - об этом сообщили ICANN и CERT.
Недавно обнаруженная дыра в области cookies в последних версиях Internet Explorer компании Microsoft позволяет просматривать и редактировать содержание персональных данных пользователей. Работа по созданию патча длилась достаточно долго, и только спустя некоторое время он стал доступен пользователям.
Также была обнаружена дыра в области Microsoft Certified Professionals, которая позволяла "профессионалам" просматривать данные друг друга в части прохождения ими экзаменов. Компания заявила, что имела место некоторая проблема, которая была благополучно разрешена силами Microsoft. Несмотря на все скандалы и критику, связанные с безопасностью продуктов Microsoft, продажи Windows XP идут весьма неплохо. В сравнении с 600 тысячами проданных за первый месяц копий операционной системы Windows 95 и 98, на фоне текущих событий 232 тысячи копий от 60% продавцов за первую неделю, без учета продаж системы, устанавливаемой в новых компьютерах, - хороший результат. Правда, аналитики отмечают, что пик продаж продукта всегда приходится на первую неделю. Пользователи в своей оценке продукта делятся на тех, кого новый продукт обрадовал обилием новых функций, и тех, кого он разочаровал слабой совместимостью с приложениями других производителей.
Microsoft движется дальше по укреплению линии "дозированного информирования" об уязвимых местах своих продуктов: на этой неделе коалиция, в которую также вошли ISS, @stake, Bindview, Foundstone and Guarden, попыталась, нащупав очертания общей реакции сообщества, предложить менее "кардинальные" условия по неразглашению информации о дырах. Это было сделано, по всей видимости, в ответ на резкий негативный отклик в среде специалистов по поводу желания ввести цензуру в отрасль. Теперь коалиция во главе с гигантом предложила 30-дневный период ограниченного информирования об уязвимых местах, в течение которого, по их мнению, будет выпущен тот или иной патч. После этого информация раскрывается полностью.
И все равно такая инициатива не вызывает одобрения сообщества - большинство видит в ней прямую угрозу безопасности, так как "монокультуры более подвержены заражению". На взгляд экспертов, Microsoft посредством своих глобальных инициатив, например, .net, на волне истерии после событий 11 сентября пытается бесконечно расширить свое влияние как в среде корпоративных, так и индивидуальных пользователей, создавая иллюзию безопасности и, тем самым, отдаляясь и отдаляя нас от нее все дальше и дальше.
Короткая ссылка
