Поделиться
Сеть и Безопасность: "Набычившийся" Microsoft, легальные DVD-"кряки" и отбитые DoS-атаки
Дмитрий ЛучкинNet Security News
Каждый девятый сервер среди использующих Microsoft IIS может стать легкой добычей хакеров: таковы результаты недавнего исследования компании Netcraft. Несмотря на перипетии в области сетевой безопасности, в частности, всплеск интереса к этим вопросам, исследователи отмечают, что количество данных "небезопасных" серверов необъяснимо возросло с 8,5% в сентябре до 11% в октябре. Имеет место и другая тенденция: все большее количество администраторов на фоне разрушительных последствий, наступивших после появления вирусов Nimda и Code Red, начинают использовать другие системы, хотя продавцы программного обеспечения делают все, чтобы продажи IIS не упали. Более ошеломляющим оказалось открытие очередной дыры в WinXP: в области паспорта пользователя, без которого, как известно, нельзя использовать WinXP, стало возможным извлечение таких деликатных данных, как номера кредитных карт и т.д. Такая информация не могла остаться незамеченной, так как число заполнивших паспорта достигло 200 млн. человек. Корпорация немедленно прекратила доступ к 2 млн. электронных "кошельков" пользователей и заверила, что "персональные данные не могли быть скомпрометированы вследствие специальных дополнительных мер в области безопасности". Как иронично заметил один из экспертов, "весьма серьезным является то, что огромные массивы персональной информации аккумулирует компания, чья плохая репутация в вопросах безопасности всем известна".
В свете этих событий Microsoft продолжает продавливать среди собственных партнеров инициативу по введению цензуры на информацию о своих уязвимых местах на срок, пока дыры не будут залатаны. Это значит, что потребители будут уязвимы в течение срока, пока корпорация не сможет исправить тот или иной продукт, сделав его более безопасным. Такое положение дел не устраивает тех, кому небезразлична собственная безопасность, поэтому данная инициатива корпорации подверглась критике в резких тонах, и, в частности, ее позиция была охарактеризована как откровенно "бычья".
Более угрожающей может показаться позиция создателей Linux, которые недавно "оградили" разработчиков системы из США от информации об уязвимых местах последней версии своего продукта. Такая самоцензура, направлена как против DMCA, так и против тех, кто использует эти дыры. Однако, подобная поддержка Microsoft не может быть воспринята однозначно: деление сообщества потребителей на обладающих информацией о дырах и остальных (именно так видит проблему производитель программного обеспечения) кажется слегка абсурдным.
Тяжбы корпорации-гиганта на этом не закончились: несмотря на передышку в антимонопольном процессе, которую получила корпорация после достижения договоренностей с министерством юстиции США, ей теперь угрожают иски со стороны отдельных, недовольных условиями соглашения, штатов, а также некоторых конкурентов. Так, об этом уже заявила компания Sun Microsystems. Кроме того, соглашение с министерством юстиции еще должно быть утверждено решением суда, а суд может и не признать "адекватность" статей соглашения, назвав его слишком мягким.
Большинство экспертов отмечают, что в данном соглашении слишком много неопределенности. Вместе с тем, пока видны лишь косметические изменения в среде WinXP, а между тем, пользователи и конкуренты требуют более "мультиплатформенного" подхода от Microsoft, что не совсем согласуется со .net стратегией корпорации. Поэтому, как бы не хотелось колоссу объять необъятное, его тяга к грандиозному может привести к тому, что под точечными ударами он развалится.
Возвращаясь опять к инициативе Microsoft по неразглашению информации о том, как могут быть использованы те или иные дыры, и к тому, что корпорация назвала текущее положение дел "информационной анархией", следует добавить, что ответ радикальной части сообщества не заставил себя ждать: группа NMRC достаточно серьезно заявила, что хакерам в качестве протеста против инициативы гиганта стоит показать теперь, что такое по-настоящему информационная анархия. Завалив описанием дыр самих производителей и информировав пользователей, они рассчитывают показать некомпетентность Microsoft и других производителей, равно как и явное их желание скрыть эту некомпетентность.
Как показало исследование Morgan Stanley, в настоящее время компании подходят к четкой итоговой оценке размеров будущих бюджетов в сфере безопасности. Несмотря на длящийся эффект "11 сентября", отношение к информационной безопасности со стороны топ-менеджмента почти не меняется - ее актуальность в срезе бюджетного планирования признали 52% в октябре, что на 4% больше в сравнении с сентябрем. Эту сферу находят стратегически важной для развития корпораций, но при этом берут в расчет количество средств, которые уже были потрачены на безопасность информационной структуры компании.
Следует отметить, что необязательно затрачивать огромные средства для обеспечения защиты информации: к большинству типов данных доступ обеспечивается в силу простоты и открытости определенных продуктов, а также заведомо предсказуемого для злоумышленника поведения пользователя. Проведение бесед для укрепления грамотности в области информационной безопасности может дать больший результат, чем покупка дорогостоящего оборудования. Необходимо выделить источники опасности и каналы, через которые наносится вред, затем указать, что можно, что нельзя делать и что нужно делать в ситуации непосредственной угрозы.
Одним из достаточно интересных прецедентов в сфере hi-tech стало решение апелляционного суда штата Калифорния, в котором указывалось, что "размещение информации в Сети о коде программного обеспечения, который дешифрует и позволяет копировать DVD-фильмы, отвечает конституционной поправке о свободе слова". Такое решение указывает на многочисленные противоречия в сфере регулирования отношений, складывающихся в области новой экономики: ведь суд признал правомерность размещения информации о действиях и результатах полностью нелегальной акции. Как видно, старые механизмы уже не работают, новые - все еще буксуют.
Мини-исследование, целью которого было найти стоимость негативных последствий спама, было проведено в Великобритании. Как показывает практика, "нежелательные" сообщения, которые составляют 28% от всей переписки работника, суммарно обходятся фирмам в 2 фунта ежедневно на одного работника. В свете этого многие компании согласны пересмотреть свою политику в отношении спама, чтобы найти решения, позволяющие кардинально защитить фирму от получения "нежелательных" сообщений, тем более, что многие разработчики предлагают гибкие системы фильтрации, которые обойдутся гораздо дешевле в сравнении с причиняемым ущербом. Другое исследование показало, что, несмотря на наличие определенной политики в области безопасности, большинство компаний неадекватно соотносят свою деятельность с существующими угрозами: например, только 1 компания из 10 удаляет или меняет пароль после увольнения работника, хотя 80% компаний имеют соответствующие регламенты.
Разработки в области защиты от DoS-атак продолжаются: так, компания Cs3 выдвинула следующую концепцию защиты, так называемый reverse firewalling: при анализе запросов выделяются запросы с односторонней связью и запросы с двусторонней связью; если "клиент" не "заинтересован" в получении пакета, связь с ним через подачу команды с маршрутизатора прекращается. Напротив, последние исследования в области персонального firewalling демонстрируют, что продукты для обеспечения персональной защиты крайне ненадежны.
Рост внимания общественности к информационной безопасности или к тому спектру отношений, которые чаще всего характеризуют как Electronic Security, не остался незамеченным как среди специалистов, так и в среде крупных сообществ. Фокус внимания больше всего был обращен к области криптографии и, в частности, к инфраструктуре открытых ключей (PKI), возможности которой, как отмечают эксперты, используются не до конца. В любом случае, любое publicity - хорошее publicity, хотя многие компании, выпускающие криптографические продукты, при рассмотрении стратегии продвижения продукта задумываются, в какой мере publicity им необходимо.
Одним из результатов активной деятельности под знаком "9/11" (11 сентября) можно считать инициативу, предложенную одним из сенаторов США, - организовать специальный фонд в размере 1 млрд. долларов для обеспечения информационной безопасности США и американских корпораций. Другим проявлением явилось предложение главы компании Siebel Systems участвовать в "улучшении режима безопасности в США". Кстати, это одна из последних инициатив - ранее Oracle и Sun Microsystems уже заявили, что готовы работать над национальной системой идентификации.
Возвращаясь к вопросу PKI, следует отметить, что все большее количество организаций начинают использовать эту систему защиты данных. При этом деятельность по созданию и управлению сервисами в этой области достаточно сложна, поэтому организациям следует, в первую очередь, решить, готова ли компания самостоятельнопостроить инфраструктуру открытых ключей или ей стоит осуществить аутсорсинг данной системы. Как показывают исследования, уже в 2004 году компании, предоставляющие такие услуги, будут извлекать до 2/3 дохода за счет управления сервисом, связанным с PKI, а не за счет создания специального программного обеспечения.
В качестве положительных новостей следует отметить начало продаж продуктов Лаборатории Касперского через сети дистрибуции WSKA и Questar, а также появление первых вразумительных реакций частного сектора на возможное введение правительством США многочисленных мер по регулированию hi-tech- и интернет-сферы.
Короткая ссылка
