Ранняя десинхронизация
Соединение десинхронизируется на стадии его установки.
Крэкер прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии.
Дождавшись пакета S-SYN от сервера, крэкер высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента.
Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет.
Клиент игнорирует S-SYN-пакет, однако крэкер, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента.
Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована.
Представим это в виде схемы:
Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные крэкером. Для корректной обработки этих ситуаций программа должна быть усложнена.
Симметричная (секретная) методология
В этой методологии и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия. Если ключ не был скомпрометирован, то при расшифровке автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Так как отправитель и получатель - единственные люди, которые знают этот симметричный ключ, при компрометации ключа будет скомпрометировано только взаимодействие этих двух пользователей. Проблемой, которая будет актуальна и для других криптосистем, является вопрос о том, как безопасно распространять симметричные (секретные) ключи.
Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных.
Порядок использования систем с симметричными ключами:
Безопасно создается, распространяется и сохраняется симметричный секретный ключ. Отправитель создает электронную подпись с помощью расчета хэш-функции для текста и присоединения полученной строки к тексту Отправитель использует быстрый симметричный алгоритм шифрования-расшифровки вместе с секретным симметричным ключом к полученному пакету (тексту вместе с присоединенной электронной подписью) для получения зашифрованного текста. Неявно таким образом производится аутентификация, так как только отправитель знает симметричный секретный ключ и может зашифровать этот пакет. Только получатель знает симметричный секретный ключ и может расшифровать этот пакет. Отправитель передает зашифрованный текст. Симметричный секретный ключ никогда не передается по незащищенным каналам связи. Получатель использует тот же самый симметричный алгоритм шифрования-расшифровки вместе с тем же самым симметричным ключом (который уже есть у получателя) к зашифрованному тексту для восстановления исходного текста и электронной подписи. Его успешное восстановление аутентифицирует кого-то, кто знает секретный ключ. Получатель отделяет электронную подпись от текста. Получатель создает другую электронную подпись с помощью расчета хэш-функции для полученного текста. Получатель сравнивает две этих электронных подписи для проверки целостности сообщения (отсутствия его искажения)
Доступными сегодня средствами, в которых используется симметричная методология, являются:
Kerberos, который был разработан для аутентификации доступа к ресурсам в сети, а не для верификации данных. Он использует центральную базу данных, в которой хранятся копии секретных ключей всех пользователей. Сети банкоматов (ATM Banking Networks). Эти системы являются оригинальными разработками владеющих ими банков и не продаются. В них также используются симметричные методологии.
Взлом копированием и эмулированием
Побитовое копирование
Суть атаки заключается в том, что пользователь (не всегда злоумышленник) пытается скопировать имеющийся у него диск с целью создания копии (для личного использования или для тиража).
Для осуществления подобной атаки могут использоваться различные программы, зачастую входящие в поставку устройств CD-R/RW. Это и официальный Easy CD Creator, и полуофициальные (полухакерские) CloneCD и BlindRead…
Защита должна уметь противодействовать данному виду взлома, так как с него обычно и начинается взлом, поскольку копировщиков способных скопировать диски с примитивной защитой великое множество.
Способы обороны: существуют два способа противодействия взлому. Первый заключается в том, что на диск записывается определенная метка, которая не копируется обычными средствами (например, создается нестабильный сегмент, который не читается носителем, а раз не читается, то и скопированным быть также не может). К сожалению, данный способ не всегда устойчив, поскольку уже есть программы "продвинутого" копирования (те же CloneCD и BlindRead), которые способны пропускать подобные места (замещать нестабильные области произвольными данными) и проводить копирование до конца. Второй способ основывается на том, что ничего никуда записывать не надо, а надо лишь определенным образом запоминать физические характеристики диска, которые просто невозможно воспроизвести любым копированием, точнее диск сам по себе копируется, но уже с другой физической структурой. Соответственно, пользователь может спокойно клонировать диски, но ключевым будет тот, который был официально куплен.
Эмулирование
Данный подход позволяет формировать виртуальные драйверы устройств и имитировать обращение к диску. Это уже чистой воды взлом, поскольку для нормальной работы вскрытого приложения в систему инсталлируется специальный драйвер, который имитирует обращение к не копируемой метке на диске и возвращает вскрытой программе именно те данные, которые она ожидает "увидеть". Подобный способ довольно часто применяется на первых порах, когда хакеру известен способ получения некопируемой метки на диске, но ему не очень хочется разбираться с программой методом дизассемблирования.
Противодействием может служить работа с устройствами записи\чтения на низком уровне, когда невозможно перехватить вызовы к оборудованию. Здесь нужно еще внести одно пояснение: для того, чтобы защищенному приложению обратиться к CD, и проверить его на наличие не копируемой метки, необходимо воспользоваться одной из функций чтения\записи, которые предоставляет сама Windows. Хакерами уже наработан ряд механизмов, позволяющих перехватывать стандартные обращения к функциям Windows, а раз можно перехватить сообщение, значит целиком можно имитировать чтение, целиком заменяя стандартные вызовы на собственные. Как говорилось выше, противодействием данному способу взлома может быть только обращение к накопителю не через стандартные вызовы.
Асимметричная (открытая) методология
В этой методологии ключи для шифрования и расшифровки разные, хотя и создаются вместе. Один ключ делается известным всем, а другой держится в тайне. Хотя можно шифровать и расшифровывать обоими ключами, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.
Все асимметричные криптосистемы являются объектом атак путем прямого перебора ключей, и поэтому в них должны использоваться гораздо более длинные ключи, чем те, которые используются в симметричных криптосистемах, для обеспечения эквивалентного уровня защиты. Это сразу же сказывается на вычислительных ресурсах, требуемых для шифрования, хотя алгоритмы шифрования на эллиптических кривых могут смягчить эту проблему. Брюс Шнейер в книге "Прикладная криптография: протоколы, алгоритмы и исходный текст на C" приводит следующие данные об эквивалентных длинах ключей.
| Длина симметричного ключа | Длина открытого ключа |
| 56 бит | 384 бит |
| 64 бита | 512 бит |
| 80 бит | 768 бит |
| 112 бит | 1792 бита |
| 128 бит | 2304 бита |
Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, генерируется временный симметричный ключ для каждого сообщения и только он шифруется асимметричными алгоритмами. Само сообщение шифруется с использованием этого временного сеансового ключа и алгоритма шифрования/расшифровки, описанного в пункте 2.1.1.1. Затем этот сеансовый ключ шифруется с помощью открытого асимметричного ключа получателя и асимметричного алгоритма шифрования. После этого этот зашифрованный сеансовый ключ вместе с зашифрованным сообщением передается получателю. Получатель использует тот же самый асимметричный алгоритм шифрования и свой секретный ключ для расшифровки сеансового ключа, а полученный сеансовый ключ используется для расшифровки самого сообщения.
В асимметричных криптосистемах важно, чтобы сеансовые и асимметричные ключи были сопоставимы в отношении уровня безопасности, который они обеспечивают. Если используется короткий сеансовый ключ ( например, 40-битовый DES), то не имеет значения, насколько велики асимметричные ключи. Хакеры будут атаковать не их, а сеансовые ключи. Асимметричные открытые ключи уязвимы к атакам прямым перебором отчасти из-за того, что их тяжело заменить. Если атакующий узнает секретный асимметричный ключ, то будет скомпрометирован не только текущее, но и все последующие взаимодействия между отправителем и получателем.
Порядок использования систем с асимметричными ключами:
Безопасно создаются и распространяются асимметричные открытые и секретные ключи (см. раздел 2.2 ниже). Секретный асимметричный ключ передается его владельцу. Открытый асимметричный ключ хранится в базе данных X.500 и администрируется центром выдачи сертификатов (по-английски - Certification Authority или CA). Подразумевается, что пользователи должны верить, что в такой системе производится безопасное создание, распределение и администрирование ключами. Более того, если создатель ключей и лицо или система, администрирующие их, не одно и то же, то конечный пользователь должен верить, что создатель ключей на самом деле уничтожил их копию. Создается электронная подпись текста с помощью вычисления его хэш-функции. Полученное значение шифруется с использованием асимметричного секретного ключа отправителя, а затем полученная строка символов добавляется к передаваемому тексту (только отправитель может создать электронную подпись). Создается секретный симметричный ключ, который будет использоваться для шифрования только этого сообщения или сеанса взаимодействия (сеансовый ключ), затем при помощи симметричного алгоритма шифрования/расшифровки и этого ключа шифруется исходный текст вместе с добавленной к нему электронной подписью - получается зашифрованный текст (шифр-текст). Теперь нужно решить проблему с передачей сеансового ключа получателю сообщения. Отправитель должен иметь асимметричный открытый ключ центра выдачи сертификатов (CA). Перехват незашифрованных запросов на получение этого открытого ключа является распространенной формой атаки. Может существовать целая система сертификатов, подтверждающих подлинность открытого ключа CA. Стандарт X.509 описывает ряд методов для получения пользователями открытых ключей CA, но ни один из них не может полностью защитить от подмены открытого ключа CA, что наглядно доказывает, что нет такой системы, в которой можно было бы гарантировать подлинность открытого ключа CA. Отправитель запрашивает у CA асимметричный открытый ключ получателя сообщения. Этот процесс уязвим к атаке, в ходе которой атакующий вмешивается во взаимодействие между отправителем и получателем и может модифицировать трафик, передаваемый между ними. Поэтому открытый асимметричный ключ получателя "подписывается" CA. Это означает, что CA использовал свой асимметричный секретный ключ для шифрования асимметричного отркытого ключа получателя. Только CA знает асимметричный секретный ключ CA, поэтому есть гарантии того, что открытый асимметричный ключ получателя получен именно от CA. После получения асимметричный открытый ключ получателя расшифровывается с помощью асимметричного открытого ключа CA и алгоритма асимметричного шифрования/расшифровки. Естественно, предполагается, что CA не был скомпрометирован. Если же он оказывается скомпрометированным, то это выводит из строя всю сеть его пользователей. Поэтому можно и самому зашифровать открытые ключи других пользователей, но где уверенность в том, что они не скомпрометированы? Теперь шифруется сеансовый ключ с использованием асимметричного алгоритма шифрования-расшифровки и асимметричного ключа получателя (полученного от CA и расшифрованного). Зашифрованный сеансовый ключ присоединяется к зашифрованному тексту (который включает в себя также добавленную ранее электронную подпись). Весь полученный пакет данных (зашифрованный текст, в который входит помимо исходного текста его электронная подпись, и зашифрованный сеансовый ключ) передается получателю. Так как зашифрованный сеансовый ключ передается по незащищенной сети, он является очевидным объектом различных атак. Получатель выделяет зашифрованный сеансовый ключ из полученного пакета. Теперь получателю нужно решить проблему с расшифровкой сеансового ключа. Получатель должен иметь асимметричный открытый ключ центра выдачи сертификатов (CA). Используя свой секретный асимметричный ключ и тот же самый асимметричный алгоритм шифрования получатель расшифровывает сеансовый ключ. Получатель применяет тот же самый симметричный алгоритм шифрования-расшифровки и расшифрованный симметричный (сеансовый) ключ к зашифрованному тексту и получает исходный текст вместе с электронной подписью. Получатель отделяет электронную подпись от исходного текста. Получатель запрашивает у CA асимметричный открытый ключ отправителя. Как только этот ключ получен, получатель расшифровывает его с помощью открытого ключа CA и соответствующего асимметричного алгоритма шифрования-расшифровки. Затем расшифровывается хэш-функция текста с использованием открытого ключа отправителя и асимметричного алгоритма шифрования-расшифровки. Повторно вычисляется хэш-функция полученного исходного текста. Две эти хэш-функции сравниваются для проверки того, что текст не был изменен.
Десинхронизация нулевыми данными
В данном случае крэкер прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние.
Взлом программного модуля
Это следующий уровень взлома. В том случае если не удалось скопировать приложение, а способ его защиты также неизвестен, то хакер переходит на следующий уровень взлома - на исследование логики самой программы, с той целью, чтобы, проанализировав весь код приложения, выделить блок защиты и деактивировать его.
Взлом программ осуществляется двумя основными способами. Это отладка и дизассемблирование.
Отладка - это специальный режим, создаваемый специальным приложением - отладчиком, который позволяет по шагам исполнять любое приложение, передавая ему всю среду и делая все так, как будто приложение работает только с системой, а сам отладчик невидим. Механизмами отладки пользуются все, а не только хакеры, поскольку это единственный способ для разработчика узнать, почему его детище работает неправильно. Естественно, что любую благую идею можно использовать и во зло. Чем и пользуются хакеры, анализируя код приложения в поиске модуля защиты.
Это так называемый, пошаговый режим исполнения, или, иными словами интерактивный. А есть еще и второй - дизассемблирование - это способ преобразования исполняемых модулей в язык программирования, понятный человеку - Ассемблер. В этом случае хакер получает распечатку того, что делает приложение. Правда распечатка может быть очень и очень длинной, но никто и не говорил, что защиты снимать легко.
Хакеры активно пользуются обоими механизмами взлома, поскольку иногда приложение проще пройти по шагам, а иногда проще получить листинг и проанализировать его.
Давайте теперь рассмотрим основные методы взлома и противодействия ему
Отладчики
Отладчиков существует великое множество: от отладчиков, являющихся частью среды разработки, до сторонних эмулирующих отладчиков, которые полностью "погружают" отлаживаемое приложение в аналитическую среду, давая разработчику (или хакеру) полную статистику о том что и как делает приложение. С другой же стороны, подобный отладчик настолько четко имитирует среду, что приложение, исполняясь под ним, считает, что работает с системой напрямую (типичный пример подобного отладчика - SoftIce).
Противодействие
Способов противодействия существует великое множество. Это именно способы противодействия поскольку основная их задача сделать работу отладчика либо совсем невозможной, либо максимально трудоемкой. Опишем основные способы противодействия:
Замусоривание кода программы. Способ, при котором в программу вносятся специальные функции и вызовы, которые выполняют сложные действия, обращаются к накопителям, но по факту ничего не делают. Типичный способ обмана. Хакера нужно отвлечь, создав ответвление, которое и будет привлекать внимание сложными вызовами и содержать в себе сложные и большие вычисления. Хакер рано или поздно поймет, что его обманывают, но время будет потеряно.
Использование мультипоточности. Тоже эффективный способ защиты, использующий возможности Windows по параллельному исполнению функций. Любое приложение может идти как линейно, то есть инструкция за инструкцией, и легко читаться отладчиком, а может разбивать на несколько потоков, исполняемых одновременно, естественно, в этом случае, нет никакого разговора о линейности кода, а раз нет линейности, то анализ здесь трудноосуществим. Как правило, создание 5-6 и более потоков существенно усложняет жизнь хакеру. А если потоки еще и шифруются, то хакер надолго завязнет, пытаясь вскрыть приложение.
Подавление изменения операционной среды - программа сама несколько раз перенастраивает среду окружения, либо вообще отказывается работать в измененной среде. Не все отладчики способны на 100% имитировать среду системы, и если "подопытное" приложение будет менять настройки среды, то рано или поздно "неправильный" отладчик может дать сбой
Противодействие постановке контрольных точек. Специальный механизм, поддерживаемы микропроцессором, при помощи которого, можно исследовать не всь программу, начиная с начал, а, например, только начиная с середины. Для этого в середине программы ставят специальный вызов (точка вызова - BreakPoint), который передает управление отладчику. Недостаток способа кроется в том, что для осуществления прерывания в код исследуемого приложения надо внести изменение. А если приложение время от времени проверяет себя на наличие контрольных точек, то сделать подобное будет весьма и весьма непросто.
Изменений определенных регистров процессора, на которые отладчики неадекватно реагируют. Также как и со средой. Отладчик тоже программа и тоже пользуется и операционной системой и процессором, который один на всех. Так если менять определенные регистры микропроцессора, которые отладчик не может эмулировать, то можно существенно "подорвать" его здоровье.
Дизассемблеры и дамперы
Про дизассемблер сказано было выше, а вот про дампер можно добавить то, что это практически тот же дизассемблер, только транслирует он не файл, находящийся на диске в Ассемблерный код, а содержимое оперативной памяти на тот момент, когда приложение начало нормально исполняться (то есть, пройдены все защиты). Это один из коварных средств взлома, при котором хакеру не надо бороться с механизмами противодействующими отладке, он лишь ждет, когда приложение закончит все проверки на легальность запуска, проверяя метки на диске, и начинает нормальную работу. В этот момент дампер и снимает "чистенький" код без примесей. К всеобщей радости не все защиты могут просто так себя раскрыть! И об этом ниже:
Шифрование. Самый простой и эффективный способ противодействия. Подразумевает, что определенная часть кода никогда не появляется в свободном виде. Код дешифруется только перед передачей ему управления. То есть вся программа или ее часть находится в зашифрованном виде, а расшифровывается только перед тем как исполниться. Соответственно, чтобы проанализировать ее код надо воспользоваться отладчиком, а его работу можно очень и очень осложнить (см. выше)!
Шифрование и дешифрование (динамическое изменение кода). Более продвинутый способ шифрования, который не просто дешифрует часть кода при исполнении, но и шифрует его обратно, как только он был исполнен. При такой защите хакеру придется проводить все время с отладчиком, и взлом защиты затянется на очень и очень долгое время.
Использование виртуальных машин. Еще одна модернизация шифрования. Способ заключается в том, чтобы не просто шифровать и дешифровать целые фрагменты кода целиком, а делать это покомандно, подобно тому, как действет отладчик или виртуальная машина: взять код, преобразовать в машинный и передать на исполнение, и так пока весь модуль не будет исполнен. Этот способ гораздо эффективнее предыдущих, так как функции приложения вообще никогда не бывают открытыми для хакера. Естественно, что его трудно реализовать, но реализовав, можно оградить себя от посягательств любых хакеров. Но в этом способе кроется недостаток - производительность, ведь на подобное транслирование требуется много времени, и, соответственно, способ хорош для защиты только для критических участков кода.
А бывает ли это на самом деле?
"Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни".
По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек.
Другой пример подробно описан на странице и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.).
Abstract
В статье рассматривается безопасность семейства IP-протоколов. Описываются возможные типа атак, представлено несколько вариантов решения проблем.
ACK-буря
Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ... И так до бесконечности.
К счастью (или к сожалению?) современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает".
Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше.
Адаптивное управление защитой
Алексей ЛУКАЦКИЙ НИП "Информзащита", СЕТИ #10/99
Современные сетевые технологии уже трудно представить без механизмов защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам инфраструктура защиты, может ли администратор безопасности своевременно узнать о начале таких атак?
Информация об уязвимости аппаратных и программных средств постоянно публикуется в различных списках рассылки по проблемам безопасности (например, Bugtraq), и сетевым администраторам следует внимательно следить за этими «черными» списками.
Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.
Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника.
При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.
Компания Yankee Group опубликовала в июне 1998 г. отчет, содержащий описание процесса обеспечения адаптивной безопасности сети. Этот процесс должен включать в себя анализ защищенности (security assessment), т. е. поиск уязвимостей (vulnerabilities assessment), обнаружение атак (intrusion detection), а также использовать адаптивный (настраиваемый) компонент, который расширяет возможности двух первых функций, и управляющий компонент.
Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:
«люки» в системах (back door) и программы типа «троянский конь»; слабые пароли; восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»; отсутствие необходимых обновлений (patch, hotfix) операционных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных.
Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.
Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.
Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.
К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.
Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети RealSecure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.
В настоящее время комплект ПО SAFEsuite поставляется в новой версии — SAFEsuite Enterprise, в которую входит также ПО SAFEsuite Decisions, обеспечивающее принятие решений по проблемам безопасности. Остановимся на компонентах SAFEsuite Enterprise более подробно.
Администратор - бог и царь
В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне. В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.
Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.
Администрирование
Легкость администрирования является одним из ключевых аспектов в создании
эффективной и надежной системы защиты. Ошибки при определении правил доступа могут
образовать дыру, через которую может быть взломана система. Поэтому в большинстве
брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора
правил. Наличие этих утилит позволяет также производить проверки на синтаксические или
логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют
просматривать информацию, сгруппированную по каким либо критериям - например, все что
относится к конкретному пользователю или сервису.
Администрирование и мониторинг
Средства управления входом в систему во всех протестированных продуктах оказались явно не на высоте, однако в других областях управления дела обстоят лучше. Более чем у половины продуктов имеется возможность в случае каких-либо неполадок послать сообщение на пейджер или отправить его по электронной почте. Наилучшим образом управление и мониторинг организованы в продуктах компаний Altiga и Lucent.
В VPN Concentrator Series (Altiga) каждая "мелочь" в работе сервера туннелирования отражается на экране модуля управления. Можно даже проконтролировать число оборотов вентиляторов в сдвоенных источниках питания, если это кого-то заинтересует.
Возможности продукта Security Management Server (Lucent) еще шире. Например, в нем реализованы два уровня управления: он позволяет задать, кто должен получать данные мониторинга и кто может изменять установки. Кроме того, Lucent включила в свой продукт мини-анализатор протокола - очень симпатичная функция.
Нам понравились также системы с ограниченным числом функций управления, запускаемых из командной строки. Это продукты компаний TimeStep, Intel, RadGuard и VPNet. Конечно, вряд ли вы захотите строить виртуальную частную сеть для предприятия, вводя команды из командной строки, но подключиться к VPN-серверу, используя эмулятор терминала, чтобы изменить один параметр или проверить совместимость работы аппаратуры разных производителей, - весьма привлекательная возможность.
Администраторы сети, которые хотели бы управлять VPN, руководствуясь формулой "настрой и забудь", могут удовлетвориться ограниченными средствами управления продуктов компаний Red Creek и Intel. Хотя они и позволяют увидеть, что происходит в сети, но процесс воплощения этих возможностей весьма тягостный. В VTCP/Secure фирмы InfoExpress функции управления еще менее дружественны по отношению к пользователю: это единственный VPN-продукт, в котором конфигурирование производится с помощью меню в ASCII-кодах в сеансе MS-DOS. Если нужно посмотреть, кто зарегистрировался, необходимо запустить генерацию отчета, а единственный способ "вышвырнуть" пользователя, который "плохо себя ведет", - это перезапустить VPN-сервер целиком.
Довольно удивительно, но все протестированные нами продукты работали почти в полном соответствии с тем, что производители заявляли о них в рекламе, хотя некоторые несоответствия обнаружились в наших тестах на время задержки и пропускную способность. В основном наибольшая нестабильность наблюдалась в случае длительной работы клиентов, независимо от того, были они подключены к VPN или нет. Получить повторяемые отклонения от нормы для таких измерений достаточно сложно.
У некоторых продуктов отказ возникал, если время жизни туннеля было слишком большое (более 24 часов), хотя все, с кем мы обсуждали эту проблему, уверяли нас, что система будет работать нормально после внесения следующей серии исправлений или замены ОС, параметров защиты, времени работы ключей. Если вы действительно планируете работать с "долгоживущими" туннелями, прежде чем приобретать систему, протестируйте их работу в своей среде со своими параметрами безопасности.
Гораздо хуже обстоит дело со стабильностью работы консолей управления. Например, в RiverWorks графический интерфейс пользователя несколько раз "рушился". А в VPNWare время от времени не работали Java-средства и программу приходилось перезапускать. В некоторых случаях причина появления проблем коренилась в неудачном проектировании продукта. Так, архитектура VTCP/Secure не обеспечивала поддержку всех IP-протоколов, что может вызвать ошибки несовместимости при работе с определенными приложениями. Из-за объединения в Security Management Server (Lucent) функций VPN с брандмауэром возникали проблемы подключения к нашему FTP-серверу.
* * *
Продукты, которые мы протестировали, очень разные. Чтобы выбрать нужный, следует учесть размер вашей виртуальной частной сети, способ подключения к Internet и многие другие, более сложные, вопросы.
Продукты серии Ravlin (RedCreek) превосходят все прочие по простоте инсталляции и работы. Тем не менее Ravlin доставит вам массу хлопот, если число виртуальных пользователей будет измеряться тысячами.
Для cети со средним количеством пользователей отличным решением будет VPN Concentrator Series фирмы Altiga. У него и цена неплохая, и интерфейс управления понятный: настройка и работа с ним не вызвала затруднений. Продукты компаний Lucent и Check Point по этим позициям также получили хорошие баллы, однако интерфейсы управления у них на порядок сложнее, чем у VPN Concentrator Series, причем от этого их функциональность не возросла во столько же раз.
Если необходимо развернуть очень большую виртуальную сеть, внимательно присмотритесь к предложениям компаний Indus River и TimeStep - продуктам RiverWorks и Permit Enterprise соответственно. В этих компаниях хорошо представляют себе, как организовать виртуальную сеть для 10 тыс. и более клиентов. Хотя в обоих продуктах средства создания отчетов не лишены недостатков, высокие показатели по другим позициям дают им явное преимущество перед остальными. Можно также воспользоваться предложениями компаний Lucent, VPNet и Intel, сильной стороной которых является удачная архитектура.
Однако такое деление на продукты для малых, средних и больших систем не должно влиять на выбор, если какой-то "претендент" лучше других соответствует вашим требованиям.
Активные атаки на уровне TCP
При данном типе атак крэкер взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соотвествующий инструментарий. К сожалению, сейчас такие программы стали доступны широким массам пользователей (например, см. раздел про SYN-затопление).
Активные атаки можно разделить на две части. В первом случае крэкер предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести систему-жертву в нерабочее состоянии.
Обладая достаточными привилегиями в Unix (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), крэкер может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса не совпадающим с текущим IP-адресом, крэкер никогда не получит ответ на отосланный пакет. Однако, как мы увидим, часто это и не требуется.
Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".
Алгоритм обмена ключами
Как отмечено выше, алгоритм обмена ключами KEA разработан специалистамиАНБ и используется для организации распределения ключей шифрования MEKпри информационном обмене и для рассылки секретных ключей пользователям.Основным достоинством KEA является тот факт, что обе стороны могут вычислитьодин и тот же TEK самостоятельно, используя два случайных числа (A и B),собственные параметры P, Q, G и открытый ключ абонента. Когда KEA используетсяпри информационном обмене, принимающая сторона может получить все значения,необходимые для расшифрования сообщения, вместе с принятым сообщением.
Рис. 3.
Основные функции алгоритма KEA показаны на Рис.3. Заметим, что в данномалгоритме значения P, Q и G, используемые Алисой для первоначальной генерацииTEK, а Бобом для генерации TEK при получении сообщения, не передаются поканалам связи и одинаковы для всех пользователей.
Алгоритм обмена ключами KEA применим как в приложениях типа электроннойпочты, так и при информационном обмене между абонентами, логически и/илифизически соединенными между собой в режиме реального времени.
Необходимо заметить, что одно и то же сообщение, адресованное разнымабонентам, зашифровывается с использованием одного ключа MEK, однако этотключ должен быть свернут с помощью различных TEK, соответствующих получателямданного сообщения. Приложение - адресат должно просмотреть сообщение инайти TEK, предназначенный для данного пользователя, развернуть MEK и расшифроватьполученное сообщение.
Алгоритмы шифрования
Алгоритмы шифрования с использованием ключей предполагают, что данные не сможет прочитать никто, кто не обладает ключом для их расшифровки. Они могут быть разделены на два класса, в зависимости от того, какая методология криптосистем напрямую поддерживается ими.
Анализ рынка средств защиты программного обеспечения от несанкционированного копирования.
"…Использование программ для ЭВМ или базы данных третьими лицами
(пользователями) осуществляется на основании договора с правообладателем…"
-фрагмент закона об интеллектуальной собственности
Анатомия атаки
Рассмотрим этапы осуществления атаки (рис.2.). Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т.е. ко второму этапу. На третьем этапе завершается атака, "заметаются" следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, nmap или SATAN считается атакой.
Рис.2. Этапы осуществления атаки
Существующие механизмы защиты, реализованные в межсетевых экранах (firewall), серверах аутентификации, системах разграничения доступа и т.д. работают только на втором этапе. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от "успешной" атаки, а также разработать меры по устранению дальнейших попыток реализовать аналогичную атаку.
Однако даже если вы наряду с традиционными механизмами защиты используете средства поиска уязвимостей, которые своевременно обнаруживают и рекомендуют меры по устранению "слабых мест" в системе защиты, то это еще не доказывает вашей защищенности. Существуют ряд факторов, которые необходимо учитывать при использовании межсетевых экранов, систем аутентификации, систем разграничения доступа и т.д. Эти факторы характеризуют не слабости этих технологий, а особенности их архитектуры. Большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.
Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил системе защиты, то она воспринимает его, как "своего" и разрешает действовать в рамках того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов (sniffer). Его можно подобрать при помощи специальных программ, например, при помощи L0phtCrack или Crack. И так далее. А дальше даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем.
Другой не менее распространенный пример. В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу.
Именно поэтому наряду с "традиционными" средствами защиты (межсетевыми экранами и т.д.) необходимо применять т.н. "адаптивные" средства (системы обнаружения атак и анализа защищенности).
АННОТАЦИЯ
Эта книга предназначена прежде всего для тех, кто интересуется не только теоретическими аспектами криптологии, но и практическими реализациями алгоритмов криптографии и криптоанализа. В книге уделено очень много внимания вопросам компьютерного криптоанализа и логике программирования защищенных криптосистем. Книга изложена таким образом, что она будет полезной как для неподготовленного читателя, так и для высококвалифицированного специалиста, желающего расширить свой кругозор и по-новому взглянуть на криптографический аспект систем информационной защиты. Речь в книге не идет о каких-то конкретных программных продуктах, наоборот - прочтя книгу, подготовленный читатель будет способен самостоятельно создавать программное обеспечение, содержащее криптографические алгоритмы.
Кроме стандартных и популярных средств одноключевого шифрования, в книге рассматриваются нестандартные алгоритмы, которые могут использоваться на практике, оригинальные и необычные подходы к шифрованию и криптоанализу, что может значительно расширить кругозор даже опытного специалиста. Тем, кто интересуется созданием собственных шифросистем, будет также интересна и полезна многочисленные исторические справки о создании блочных систем шифрования.
Таким образом, эта книга будет чрезвычайно полезной для студентов вузов, как соответствующих специальностей, так и просто интересующихся компьютерными технологиями, а также для специалистов в области обеспечения информационной безопасности и разработки соответствующих программных средств. Книга носит практический характер и наряду со множеством описаний шифров содержит исходные тексты программ, их реализующих. Книга может быть полезна в качестве справочника либо учебного пособия.
Аппаратная расширяемость
Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.
Апрель
В начале апреля 19-летнему
Christopher Schanot, известному в компьютерном подполье Сент-Луиса
под псевдонимом "N00gz", в Филадельфии было предъявлено
обвинение в компьютерном мошенничестве. Старшекласснику-отличнику
инкриминировался несанкционированный доступ ко многим корпоративным
и правительственным компьютерам, Его жертвами стали такие компании,
как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал
себя виновным по двум пунктам обвинения в компьютерном мошенничестве
и одном пункте обвинения в незаконном прослушивании. Ему грозит
до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило
агентство AP 15 ноября, приговор должен быть вынесен 31 января
1997 года.
В телеконференциях (см.
) появились разоблачения, касающиеся сотрудников Управления
социального страхования США. Эти сотрудники злоупотребили своими
правами на доступ к компьютерам Управления и продали детальную
персональную информацию о более чем 11 тысячах жертвах членам
шайки, занимающейся махинациями с кредитными картами. (Еще один
урок по поводу важности человеческого фактора в информационной
безопасности.)
Агентство Associated Press
19 апреля сообщило о проникновении хакеров в систему голосовой
почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие
на следующий текст: "Вы попали в полицейский департамент
Нью-Йорка. В случае реальной опасности позвоните по телефону 119.
Для всех остальных дел как раз сейчас мы немного заняты - пьем
кофе с пирожными". Далее следовало: "Вы можете не вешать
трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,
что имеется в виду. Спасибо". Поддельные сообщения звучали
в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил
краткое изложение новостийной статьи о важном повороте в битве
против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года
районный судья Marilyn Hall Patel вынесла постановление, согласно
которому математик Daniel Bernstein может попробовать доказать,
что сфера действия принятых в США правил контроля за экспортом
криптографических технологий слишком широка и затрагивает его
права на общение с другими учеными и компьютерной общественностью
- права, защищаемые свободой печати. (Криптографические программы,
которые разработал Bernstein, называются Snuffle и Unsnuffle.
Государственный департамент США в 1993 году принял решение о том,
что на статью и программы, написанные математиком, необходимо
получить экспортную лицензию, поскольку согласно действующему
в США законодательству поставщик криптосредств приравнивается
к международному торговцу оружием. Позднее ограничения на экспорт
статьи были сняты. После этого Bernstein возбудил судебное дело,
требуя снять ограничения со своих программ.)"
В декабре судья Patel
нанесла решающий удар по запрету, назвав его "примером бессистемного
произвола", неспособного обеспечить право граждан на свободу
слова (UPI, 19 декабря; ).
Согласно сообщению в "San
Francisco Chronicle" от 20 апреля (Peter Neumann изложил
его в ), личный секретарь вице-президента корпорации
Oracle получила отказ в иске по поводу незаконности ее увольнения.
Женщина утверждала, что ее уволили после того, как она отказалась
вступить в связь с президентом компании. В качестве доказательства
она привела фрагмент электронного письма, якобы отправленного
ее боссом президенту. В письме босс подтверждал, что выполнил
просьбу президента и уволил секретаршу. Однако, как показало следствие,
в то время, когда было отправлено письмо, босс на самом деле находился
за рулем автомобиля (во всяком случае, об этом свидетельствуют
протоколы переговоров по сотовой связи). Истица знала пароли своего
начальника (он имел обыкновение просить ее о смене пароля). Местный
прокурор пришел к заключению, что электронное письмо было сфабриковано
секретаршей и обвинил ее в лжесвидетельстве.
Весьма интересны выводы,
к которым пришел Peter Neumann:
Не следует верить,
что заголовок FROM: электронного письма соответствует реальному
отправителю.
Не следует доверять
содержанию электронного сообщения вне зависимости от корректности
его заголовков.
Не следует разделять
свой пароль с кем бы то ни было или делать кого-либо другого ответственным
за Ваши пароли.
Не следует использовать
скрытно компрометируемые многоразовые фиксированные пароли; частота
их смены не имеет принципиального значения.
Вместо фиксированных
паролей используйте одноразовые средства аутентификации.
Даже если Вы используете
PEM, PGP или иные средства криптографической защиты электронной
почты, Вы не можете быть уверены в аутентичности сообщений из-за
потенциальной ненадежности операционных систем и пользователей.
Остерегайтесь использовать
сообщения электронной почты в качестве судебных доказательств.
Однако, не следует
думать, что протоколы сотовой связи являются безупречными судебными
доказательствами; они также могут быть сфабрикованы или изменены.
Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,
кто в состоянии продемонстрировать, насколько легко изменить эти
протоколы.
К этому Mike Marler
<> добавляет (см. ):
Не следует думать,
что некто не может запустить на своем компьютере пакетное задание
или фоновый процесс, которые отправят электронное сообщение другому
лицу (с подделкой заголовков или без таковой), в то время как
автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.
Не следует думать,
что некто не может располагать автоматизированной системой ответов
на письма, которая пошлет ответ на "фрагмент электронного
письма", начинающийся примерно так: "К сожалению, я
не могу направить развернутый ответ на Ваш 'фрагмент электронного
письма', поскольку до конца дня я буду очень занят на собраниях".
В это время упомянутый некто может просто бездельничать или продолжать
ловить рыбу у берегов Коста-Рики.
J.R.Valverde (младший)
<> еще добавил:
Никогда не беритесь
за обслуживание счета другого пользователя, не получайте доступ
к чужому компьютеру.
Причуды America Online
развеселили Интернет и особенно жителей небольшого городка на
востоке Англии с названием Scunthorpe, когда житель этого городка
Doug Blackie попытался зарегистрировать свой новый счет. Если
верить статье в "Computer underground Digest" выпуск
8.29 (изложение которой можно найти в ), фильтр непристойностей,
встроенный в программное обеспечение America Online, отверг слово
"Scunthorpe", но принял "Sconthorpe". (На
русском языке это приблизительно соответствует замене названия
"Отпадинск" на "Отпудинск" - прим. перев.)
С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe
Filter". В других сообщениях, поступивших в телеконференцию
RISKS, многочисленные корреспонденты прокомментировали эффекты
фильтрации безобидных жаргонных словечек, имеющих ложные вхождения
в нормальные слова на английском или, в особенности, на других
языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,
построенных на этом принципе - прим. перев.) Можно подумать, что
программисты America Online брали уроки у разработчиков современных
антивирусных средств.
Согласно сообщению английской
газеты "Daily Mail" от 27 апреля (см. также ),
криминальные хакеры получили доступ к конфиденциальным файлам
университета в Кембридже, из-за чего пришлось срочно менять пароли
у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали
медицинскую, коммерческую и научную информацию. Однако, в отличие
от эффектной газетной заметки, правда оказалась более прозаичной.
Как сообщил Stephen Early <>
(см. ), в одной из подсетей информационной системы
университета была обнаружена установленная программа перехвата
сетевых пакетов.
Асимметричные алгоритмы
Асимметричные алгоритмы используются в асимметричных криптосистемах для шифрования симметричных сеансовых ключей (которые используются для шифрования самих данных).
Используется два разных ключа - один известен всем, а другой держится в тайне. Обычно для шифрования и расшифровки используется оба этих ключа. Но данные, зашифрованные одним ключом, можно расшифровать только с помощью другого ключа.
| Тип | Описание | |
| RSA | Популярный алгоритм асимметричного шифрования, стойкость которого зависит от сложности факторизации больших целых чисел. | |
| ECC (криптосистема на основе эллиптических кривых) | Использует алгебраическую систему, которая описывается в терминах точек эллиптических кривых, для реализации асимметричного алгоритма шифрования.
Является конкурентом по отношению к другим асимметричным алгоритмам шифрования, так как при эквивалентной стойкости использует ключи меньшей длины и имеет большую производительность. Современные его реализации показывают, что эта система гораздо более эффективна, чем другие системы с открытыми ключами. Его производительность приблизительно на порядок выше, чем производительность RSA, Диффи-Хеллмана и DSA. | |
| Эль-Гамаль. | Вариант Диффи-Хеллмана, который может быть использован как для шифрования, так и для электронной подписи. |
Атаки на алгоритмы
Многие разработчики, несмотря на наличие в России государственных стандартов цифровой подписи и хэш-функции, пытаются разработать свои собственные алгоритмы. Однако, из-за низкой квалификации авторов данные алгоритмы не обладают свойствами, присущими качественным алгоритмам, разработанными математиками-криптографами. К ошибкам, которые существуют в алгоритмах криптографов-самоучек, можно отнести:
Периодическое повторение одних и тех же значений алгоритмами генерации случайных чисел, которые получили широкое распространение в криптографии. Возможность генерации одинаковой хэш-функции для двух различных документов. Такое событие называется "коллизией" и надежный алгоритм хэш-функции должен противостоять такого рода "неприятностям". Многие разработчики пытаются сохранить разработанный алгоритм в секрете, тем самым надеясь гарантировать его надежность. Однако согласно приведенному выше правилу Киркхоффа, надежность цифровой подписи должна определяться только секретностью ключа, используемого для подписи сообщения.
Кроме того, иногда в российских журналах или телеконференциях в сети Internet и FIDOnet можно прочитать сообщения об оптимизации существующих стандартов (например, ГОСТ 28147-89 или DES), которые якобы не снижают надежности самих стандартов, а скорость работы при этом возрастает на один-два порядка. К таким сообщениям надо относиться с определенной степенью скептицизма. Выгоды от применения "оптимизированных" алгоритмов сомнительны, а вот вероятность фальсификации документов, подписанных с их помощью, увеличивается.
Атаки на аппаратное обеспечение.
Некоторые системы, в особенности, коммерческие, в вопросах безопасности полагаются на защищённое от несанкционированного доступа аппаратное обеспечение – карточки с микропроцессором (smart card), электронные бумажники, защитные заглушки и т.д. Эти системы могут предполагать, что общедоступные терминальные устройства никогда не попадут не в те руки или "не те руки" не будут обладать достаточными знаниями или оборудованием для атаки на аппаратное обеспечение. Хотя аппаратное обеспечение безопасности и является важным компонентом многих надёжных систем, мы не доверяем системам, надёжность которых базируется исключительно на предположениях о защищённости от несанкционированного доступа. Нам редко встречались работоспособные системы защиты от несанкционированного доступа, а инструменты преодоления такой защиты совершенствуются постоянно. Когда мы разрабатываем системы, использующие элементы защиты от несанкционированного доступа, мы обязательно встраиваем дополнительные механизмы обеспечения безопасности на случай, если система защиты от несанкционированного доступа не сработает.
Хронометрические атаки (timing attack) наделали много шума в прессе в 1995 году: закрытые ключи RSA могут быть восстановлены измерением относительных интервалов времени, затраченных на произведение криптографических операций. Эти атаки были успешно применены к карточкам с микропроцессорами и другим средствам надёжной идентификации, а также к серверам электронной коммерции в Сети. Counterpane, в числе других, обобщила эти методы, включая атаки на системы путём измерения уровня потребления энергии, излучения и других побочных каналов и применила их против многих алгоритмов, как с открытым ключом, так и симметричных, в "надёжных" системах идентификации. Однако мы нашли средства идентификации, вытянуть из которых секретный ключ, наблюдая за побочными каналами, нам не удалось. Связанное с этим направление исследований рассматривало анализ ошибок: преднамеренно спровоцированные ошибки криптографического процессора с целью определения секретных ключей. Эффект от таких атак может быть огромным.
Атаки на цифровую подпись
Пользователю системы электронной цифровой подписи необходимо знать, каким образом злоумышленник может осуществить атаку на ЭЦП. В документации на многие системы цифровой подписи очень часто упоминается число операций, которые надо осуществить для перебора всех возможных ключей. Однако это только один из возможных вариантов реализации атак. Квалифицированный злоумышленник далеко не всегда использует такой "грубый" перебор (brute force search) всех возможных ключей. Рассмотрим подробнее некоторые из типов атак.
Атаки на криптографические модели.
Криптографическая система может быть сильна лишь настолько, насколько таковыми являются алгоритмы шифрования, алгоритмы цифровой подписи, односторонние хэш-функции и коды идентификации сообщений, на которые она опирается. Взломайте что-нибудь одно и вы взломаете систему. И как можно построить слабую структуру из крепких материалов, так и возможно построить слабую криптографическую систему из надежных алгоритмов и протоколов.
Мы часто находим системы, которые "аннулируют гарантию" своей криптографии неправильным использованием последней: не проверяя размеры значений, повторно используя случайные параметры, которые повторно использовать никогда нельзя, и т.д. Алгоритмы шифрования не всегда обеспечивают целостность данных. Протоколы обмена ключами не гарантируют получение обеими сторонами одного и того же ключа. В недавнем исследовательском проекте мы нашли, что некоторые (не все) системы, использующие связанные ключи могут быть взломаны, даже если каждый отдельный ключ безопасен. Безопасность – нечто намного большее, чем простое использование алгоритма и ожидание получить работоспособную систему. Даже хорошие инженеры, известные компании и большие усилия не гарантируют устойчивой реализации; наша работа над алгоритмом шифрования в цифровой сотовой связи в США подтвердила это.
Генераторы случайных чисел – ещё одно место, в котором часто ломаются криптографические системы. Хорошие генераторы случайных чисел сложны в разработке, так как их надёжность часто зависит от особенностей аппаратного и программного обеспечения. Многие из проверенных нами продуктов используют плохие. Криптография может быть сильной, но если генератор случайных чисел выдаёт слабые ключи, то систему взломать гораздо проще. Другие продукты используют надёжные генераторы случайных чисел, но не используют достаточно случайности для обеспечения надёжной криптографии.
Недавно Counterpane опубликовала новый класс атак на генераторы случайных чисел (), основанный на нашей работе над коммерческими моделями. Одна из самых неожиданных находок была в том, что определённые генераторы случайных чисел могут быть надёжными при использовании с одной целью, но ненадёжными для другой; обобщение анализа надёжности опасно.
В результатах другого исследования мы рассматривали взаимодействие между двумя, поодиночке надёжными криптографическими протоколами. Мы показывали, как по заданному надёжному протоколу построить другой надёжный протокол, который взломает первый при использовании с теми же ключами на том же устройстве.
Атаки на криптографию.
Порой продукты имеют изъяны в криптографической системе. Некоторые полагаются на собственные алгоритмы шифрования. Они неизменно оказываются очень слабыми. Counterpane имеет определённые достижения в области взлома известных алгоритмов шифрования, но среди "самодельных" таких достижений гораздо больше. Секретность алгоритма не является большим препятствием для анализа – в любом случае, потребуется лишь несколько дней для инженерного анализа криптографического алгоритма из исполняемого кода. Одна из проанализированных нами систем, стандарт электронной почты S/MIME 2, использовала относительно устойчивую конструкцию, но реализованную со слабым криптографическим алгоритмом. Система шифрования DVD выбрала слабый алгоритм и сделала его ещё слабее.
Мы встречали много других криптографических ошибок: реализации, повторяющие "уникальные" случайные величины, алгоритмы цифровой подписи, недостаточно тщательно проверяющие параметры, хэш-функции, изменённые так, что теряются самые важные их свойства. Мы встречали протоколы, которые использовались не так, как это было предусмотрено разработчиками и протоколы, "оптимизированные", по-видимому, тривиальными способами, что полностью лишило их надёжности.
Атаки на криптосистему
Под криптосистемой понимается не только используемый алгоритм выработки и проверки цифровой подписи, но также механизм генерации и распределения ключей и ряд других важных элементов, влияющих на надежность криптосистемы. Ее надежность складывается из надежности отдельных элементов, составляющих эту криптосистему. Поэтому в некоторых случаях нет необходимости атаковать алгоритм. Достаточно попытаться атаковать один из компонентов криптосистемы. Например, механизм генерации ключей. Если датчик случайных чисел, реализованный в криптосистеме для генерации ключей, недостаточно надежен, то говорить об эффективности такой системы не приходится. Даже при наличии хорошего алгоритма ЭЦП.
Для алгоритмов, основанных на открытых ключах, например, RSA или Эль-Гамаля, существует ряд математических проблем, которые не всегда учитываются при построении криптосистемы. К таким моментам можно отнести выбор начальных значений, на основе которых создаются ключи. Есть определенные числа, которые позволяют очень быстро вычислить секретный ключ ЭЦП. В то же время правильный выбор начальных значений позволяет гарантировать невозможность "лобовой" атаки в течение нескольких сотен лет при современном развитии вычислительной техники.
Атаки на модели доверия.
Многие из более интересных наших атак были направлены на модели доверия, лежащие в основе системы: кому или чему доверяет системы, каким образом и до какой степени. Простые системы, такие как программы шифрования содержимого жёстких дисков или продукты для обеспечения секретности телефонных переговоров, обладают простыми моделями доверия. Сложные системы, такие как системы электронной коммерции и многопользовательские системы безопасности электронной почты, имеют сложные (и тонкие) модели доверия. Программа для работы с электронной почтой может использовать невзламываемое шифрование, но пока ключи не подтверждены достоверным источником (или пока такое подтверждение не может быть проверено), система остаётся уязвимой. Некоторые коммерческие системы могут быть взломаны путём сговора продавца и покупателя, или двух разных покупателей. Другие системы делают неявные предположения о инфраструктуре обеспечения безопасности, не заботясь о проверке подлинности этих предположений. Если модель доверия не документирована, инженер может неосознанно изменить её на стадии разработки продукта и, тем самым, скомпрометировать систему обеспечения безопасности.
Многие программные системы делают неверные предположения относительно компьютеров, на которых они запущены, – они предполагают, что компьютер надёжен. Такие программы часто могут быть взломаны "троянскими конями" - программами, которые подсматривают пароли, читают открытые сообщения или обходят систему безопасности иным путём. Системы, работающие через вычислительную сеть, должны предусматривать дефекты систем безопасности, вызываемые сетевыми протоколами. Компьютеры, подключённые к Internet также уязвимы. Криптография может оказаться неуместной, если её можно обойти, воспользовавшись ненадёжностью сети. И не существует программного обеспечения, устойчивого к декомпиляции.
Часто система разрабатывается с расчётом на одну модель доверия, а реализуется с другой. Решения, принятые в процессе разработки могут быть полностью проигнорированы к моменту продажи конечному потребителю. Система, надёжная в случае использования надёжными операторами на компьютерах, находящихся под полным контролем компании, использующей систему, может оказаться ненадёжной, если операторы – временные работники с предельно низким жалованьем, а компьютеры не заслуживают доверия. Хорошие модели доверия работают даже тогда, когда одно из предположений о доверии перестаёт быть верным.
Атаки на пароли.
Многие системы взламываются из-за того, что полагаются на пароли, созданные пользователями. Предоставленные сами себе, люди не склонны к выбору надёжных паролей. Если заставить их использовать надёжные пароли, то они будут их забывать. Когда пароль становится ключом, то, обычно, проще и быстрее угадать пароль, нежели подобрать ключ – мы встречали доскональные системы, терпевшие на этом пути неудачу. Некоторые интерфейсы пользователя только усугубляют проблему, ограничивая длину пароля восемью символами, преобразовывая всё к нижнему регистру и т.д. Даже идентификационная фраза (многословный вариант пароля) может оказаться ненадёжной: поиск среди фраз из 40 символов обычно гораздо проще поиска среди произвольных ключей длиной 64 бита. Нам также встречались системы восстановления ключей, которые дискредитировали надёжные сеансовые ключи использованием слабых паролей для восстановления ключа.
Атаки на пользователей
Не стоит забывать, что конечный пользователь также является элементом криптосистемы и также подвержен атакам, наравне со всеми остальными элементами. Пользователь может передать дискету с секретным ключом ЭЦП своему коллеге для подписи документов в свое отсутствие. Пользователь может потерять такую дискету или другой носитель секретных ключей и не сообщать об утере до того момента, пока эта дискета не понадобится вновь.
Во многих системах пользователь может сам создавать себе ключи для выработки подписи. Генерация ключа основывается на паролях, выбираемых самим пользователем. Как известно фантазия в выборе таких паролей у пользователя очень слаба. Поэтому выбираются легко запоминаемые слова или фразы, которые легко угадываются злоумышленниками.
Даже если система надёжна при надлежащем обращении, пользователи могут случайно нарушить систему безопасности, особенно, если система спроектирована не очень хорошо. Классический пример – пользователь, дающий свой пароль другим сотрудникам, чтобы они могли решать какие-то вопросы, когда его самого нет на месте. Пользователи могут не докладывать о пропаже карточки доступа, если она потерялась. Они могут невнимательно проверять имя на электронном сертификате. Они могут повторно использовать свои надёжные пароли на других, ненадёжных системах. Они могут не изменить настройки безопасности программного обеспечения, установленные по умолчанию на низкий уровень безопасности. Хорошо спроектированная система не сможет решить всех этих социальных проблем, но поможет избежать многих из них.
Атаки на реализации.
Многие системы рушились из-за ошибок в реализации. Некоторые системы не убеждаются в уничтожении открытого текста после шифрования. Другие системы используют временные файлы, чтобы защититься от потерь данных, связанных с крахом системы, или виртуальную память, чтобы расширить объём доступной памяти; эти возможности могут случайно оставить открытый текст валяющимся на жёстком диске. В особых случаях операционная система может оставить ключи на жёстком диске. В одном из рассмотренных продуктов использовалось специальное окно для ввода пароля. Пароль оставался в памяти окна даже после его закрытия. И не важно, насколько хороша была криптография продукта, – он был взломан через интерфейс пользователя.
Другие системы терпели поражение от менее явных проблем. Иногда одни и те же данные шифровались двумя разными ключами, одним сильным и одним слабым. Другие системы использовали главные ключи и, затем, одноразовые сеансовые ключи. Мы взломали их с помощью частичной информации о разных ключах. Мы также встречали системы с неадекватными механизмами защиты главных ключей, ошибочно полагающихся на надёжность сеансовых ключей. Жизненно важно перекрыть все возможные пути изучения ключа, а не только самые очевидные.
Системы электронной коммерции часто идут на компромисс в вопросах реализации с целью обеспечения простоты использования. Здесь мы находили скрытые слабые места, появившиеся из-за того, что разработчики не продумывали тщательно влияние этих компромиссов на безопасность. Наверное, проводить согласование счетов раз в день проще, но какой вред может нанести злоумышленник за несколько часов? Возможно ли переполнение механизмов контроля, с целью скрыть личность злоумышленника? Некоторые системы хранят скомпрометированные ключи в рабочих списках (hotlists) – атака на такие списки может быть очень плодотворной. Другие системы могут быть взломаны посредством replay-атак: повторным использованием старых сообщений или их частей с целью обмана различных механизмов.
Системы, которые допускают восстановление ключей в экстренной ситуации, предоставляют ещё одно направление для атаки. Хорошие криптографические системы разрабатываются с таким расчётом, чтобы время жизни ключа было как можно короче. Восстановление ключей зачастую сводит на нет усилия по повышению надёжности, заставляя ключ существовать дольше, чем требуется. Более того, базы данных восстановления ключей являются источниками уязвимостей сами по себе и должны разрабатываться и реализовываться с учётом требований безопасности. В одном из рассмотренных продуктов дефект базы данных восстановления ключей давал преступникам возможность для мошенничества с возможностью свалить всё на законных пользователей.
Атаки на реализацию
Атаки именно этого типа наиболее часто используются злоумышленниками. Связано это с тем, что для их реализации нет необходимости обладать обширными познаниями в области математики. Достаточно быть квалифицированным программистом. Примеров неправильной реализации, приводящей к атаке на нее, можно назвать множество. Например:
Секретный ключ ЭЦП хранится на жестком диске. После завершения работы системы ЭЦП, ключ, хранящийся в оперативной памяти, не затирается. Обеспечивается безопасность сеансовых ключей и недостаточное внимание уделяется защите главных ключей. Открыт доступ к "черным спискам" скомпрометированных ключей. Отсутствует контроль целостности программы генерации или проверки ЭЦП, что позволяет злоумышленнику подделать подпись или результаты ее проверки.
В качестве примера атаки на реализации систем ЭЦП можно назвать случай, описанный в середине 90-х годов в отечественной прессе и связанный с устанавливаемой "закладкой" в широко распространенную программу PGP.
Вопросы, касающиеся атак на аппаратную реализацию, в данной публикации рассматриваться не будут в связи с тем, что в России практически нет средств, реализующих цифровую подпись на аппаратном уровне. Можно добавить, что существуют варианты атак на аппаратные элементы хранения ключей ЭЦП (таблетки Touch Memory, смарт-карты и т.п.). Такого рода атаки получили очень широкое распространение в последнее время.
Атаки на восстановление после сбоя.
Сильные системы проектируются с таким расчётом, чтобы не дать небольшим проблемам с системой безопасности стать большими. Восстановление ключа к одному файлу не должно давать злоумышленнику возможности читать все файла на жёстком диске. Хакер, разобравший смарт-карту не должен иметь возможности найти пути к взлому других смарт-карт в системе. В многопользовательской системе знание секретов одного не должно компрометировать других.
Многие системы по умолчанию находятся в небезопасном режиме. Если функция системы безопасности не работает, большинство людей просто отключают её и занимаются своими делами. Если система проверки кредитных карточек в реальном времени отключена, придётся воспользоваться менее надёжной "бумажной" системой. Аналогично, порой бывает возможно устроить атаку отката версии (version rollback attack) после того, как она была модернизирована для усовершенствования системы безопасности: требование обратной совместимости позволяет злоумышленнику вынудить использовать старый, менее надёжный протокол.
Другие системы не имеют возможности "на ходу" восстановиться после аварии. Если система безопасности взломана, то пути её исправить нет. Для систем электронной торговли, порой насчитывающих миллионы пользователей, это может оказаться чрезвычайно разрушительным. Такие системы должны быть готовы ответить на атаку и модернизировать систему безопасности, не выключая всю систему. Фраза "и компания сворачивается" - не то, что Вы хотели бы поместить в бизнес-план. Хороший проект системы учитывает действия на случай обнаружения атаки и вырабатывает пути локализации повреждения и восстановления после атаки.
Аутентификация
Аутентификация является одним из самых важных компонентов брандмауэров. Прежде
чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,
необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,
что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы
разрешены называется авторизацией. Авторизация обычно рассматривается в контексте
аутентификации - как только пользователь аутентифицирован, для него определяются
разрешенные ему сервисы). При получении запроса на использование сервиса от имени
какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для
данного пользователя и передает управление серверу аутентификации. После получения
положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое
пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е.
пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в
ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей.
Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть
перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи
перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить
следующий пароль из предыдущего является крайне трудной задачей. Для генерации
одноразовых паролей используются как программные, так и аппаратные генераторы -
последние представляют из себя устройства, вставляемые в слот компьютера. Знание
секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд
брандмауэров поддерживают Kerberos - один из наиболее распространенных методов
аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры
поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее
приемлемой для своих условий.
Аварийное завершение соединения с атакующим узлом
Модуль слежения системы RealSecure? может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.
Август
По каналам европейских
новостей прошли сообщения о том, что ЦРУ США осуществило хакерские
проникновения в компьютеры Европейского парламента и Европейской
комиссии, чтобы выкрасть экономические и политические секреты.
Утверждается, что персонал Комиссии обнаружил свидетельства того,
что американцы использовали информацию, добытую криминальным,
хакерским путем, для получения преимуществ по Генеральному соглашению
по тарифам и торговле. ("Sunday Times", 4 августа; ).
Телефонные хакеры проникли
в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5
миллионов долларов неоплаченными звонками с использованием прямого
доступа к внутренним сервисам. (Reuters, 5 августа).
Церковь сайентологов приняла
решение отозвать один из своих многочисленных судебных исков о
нарушении авторских прав после того, как компания Netcom On-Line
Communication Services согласилась выдавать на пользовательские
экраны предостережения о необходимости соблюдать права на интеллектуальную
собственность. Церковь сайентологов нередко добивается возмещения,
когда ее религиозные учения, оформленные ею как защищенные авторскими
правами коммерческие секреты, публикуются без получения на то
разрешения. (AP, 5 августа).
Один из корреспондентов
списка рассылки "Best of Security" сообщил 9 августа:
"Exploder - это один из элементов управления в среде ActiveX.
демонстрирующий проблемы с информационной безопасностью в Microsoft
Internet Explorer. Exploder выполняет аккуратное завершение работы
систем под Windows 95 и даже выключает питание на компьютерах,
BIOS которых содержит средства энергосбережения (так называемые
"зеленые" компьютеры)."
Несколько недель спустя
профессор Принстонского университета Ed Felten вместе со своей
группой обнаружил брешь в защите в Internet Explorer 3.0. Используя
эту брешь, атакующий, должным образом сформировав свою Web-страницу
и "заманив" на нее пользователя Explorer, может выполнить
на компьютере последнего любую DOS-команду. Например, атакующий
может прочитать, изменить или удалить файлы, внедрить вирус или
троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу,
чтобы продемонстрировать выявленную проблему, удаляя файл на машине
зашедшего на эту страницу Explorer-пользователя. ().
В декабре газета "Computerworld" сообщила, что объекты,
построенные в среде ActiveX, могут осуществлять доступ к системным
ресурсам на компьютерах пользователей, что способно привести к
нарушениям безопасности или повреждению данных на ПК. ().
На собрании Американской
психологической ассоциации в Торонто говорилось о явлении "интернетомании",
напоминающем наркоманию. Доктор Kimberly Young из Питсбургского
университета рассматривала детали интернетоманского поведения.
Например, известны случаи, когда люди в силу личной потребности
проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы
старались ходить в Сеть посреди ночи, чтобы избежать упреков со
стороны родных; другие норовили сказаться больными, чтобы иметь
возможность остаться дома и путешествовать по Интернет. Часть
людей растягивала обеденный перерыв на три часа, чтобы вдоволь
поиграть в Сети. (AP, UPI, 10 августа).
Профессор юриспруденции
Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель
профессора - запретить федеральным властям ограничивать его или
чьи бы то ни было права на обсуждение несекретных криптографических
технологий с любым гражданином любой страны, равно как и права
на свободную публикацию информации такого рода. Толчком к подаче
иска стало раздражение профессора, вызванное ощущением, что законодательство
о контроле за международной торговлей оружием мешает ему обсуждать
криптографические алгоритмы в рамках курса по компьютерному праву,
среди слушателей которого есть иностранные студенты. ("COMTEX
News", 12 августа).
Эмоционально неуравновешенный
субъект, использовавший псевдоним "johnny xchaotic",
взял на себя ответственность за крупный взрыв "почтовой бомбы",
вызванный сфабрикованной подпиской десятков жертв на сотни списков
рассылки. В непоследовательном, бессвязном письме, посланном им
в Интернет, он (или она?) позволил себе грубые замечания в адрес
людей знаменитых и не очень, по существу лишившихся возможности
получать осмысленную электронную почту из-за приходящих каждый
день тысяч нежелательных сообщений. (Dow Jones, 16 августа). По-видимому,
тот же субъект, действуя на этот раз под псевдонимом "unamailer"
(так пресса окрестила виновника августовского происшествия), организовал
аналогичную массовую "подписку" в конце декабря.
В середине августа нападению
вандалов подвергся Web-сервер Министерства юстиции США. Электронные
"художники" поместили на сервер свастику, изображения
Гитлера, фотографии обнаженных женщин, а также грубые насмешки
в адрес администрации Клинтона и закона о благопристойности коммуникаций
(Communications Decency Act). Кроме того, была искажена информация
о правительственной программе помощи оскорбленным женщинам (AP,
17 августа). В сентябре список организаций с оскверненными Web-серверами
пополнили Британская консервативная партия, "Нация Ислама",
Американская ассоциация психоаналитиков и ЦРУ, которое шведские
кибервандалы 19 сентября переименовали в "Центральное Управление
Тупости". ()
В городке Амерст (США)
воры украли компьютеры и носители данных с информацией, стоимость
которой оценивается в 250 миллионов долларов. Этот случай следует
охарактеризовать как акт откровенного промышленного шпионажа,
направленного против компании Interactive Television Technologies,
Inc. Похищенная информация касалась совершенно секретного проекта
по превращению каждого телевизионного приемника в устройство доступа
к Интернет.
Вирус "HDEuthanasia",
который создал некто с псевдонимом "Demon Emperor",
вызвал в августе легкую панику, главным образом из-за преувеличений
и передергиваний в средствах массовой информации. На самом деле,
этот "скачущий" вирус не обладает какими-то уникальными
свойствами. (PA News, 20 августа; Reuters, 22 августа).
По сообщению журнала "Defense
News", американская армия в Боснии столкнулась с многочисленными
случаями заражения компьютерными вирусами "Monkey",
"AntiEXE" и "Prank". Армейскому персоналу
пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные
системы. (RISIS 18.39).
В Хельсинки Johan Helsingius
опротестовал обвинение в том, что большая часть мировой детской
порнографии пересылается через его сервис анонимной почты anon.penet.fi.
Спустя короткое время он все-таки закрыл свой сервис, поскольку
продолжавшееся полицейское расследование вызвало у него отвращение.
(Reuters, 28 августа; см. также ).
Новости из подполья. Шайка
криминальных хакеров "Scriptors of Doom" начала еженедельную
публикацию средств использования слабостей в защите операционной
системы HP-UX. Криминальный хакер "Galf" начал мстить
за нападки на Netta Gilboa на съезде Defcon, разрушая системы
обидчиков.
Автоматическое обновление уязвимостей
До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.
Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.
Автоматическое создание ACL
Модуль управления маршрутизатором может приобретаться и как автономный модуль, только для управления маршрутизатором, и вместе с полным решением проблемы безопасности предприятия - FireWall-1 (FireWall-1 enterprise security solution).
© ООО , 1998
Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.
"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
"Black Hole" поддерживает следующие виды сервисов:
терминальный доступ (TELNET)
передача файлов (FTP)
почта (SMTP)
новости Usenet (NNTP, SNNTP)
Web (HTTP, HTTPS)
Gopher
Real Audio
Archie
Wais
X Window System
Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.
"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров:
адрес источника
адрес назначения
сервис ( FTP, TELNET, и т.д.)
дата и время доступа
идентификатор и пароль пользователя
"Black Hole" поддерживает строгую аутентификацию как с использованием обычных
паролей, так и различных типов одноразовых паролей:
S/Key
Enigma Logic Safeword
Security Dynamics SecureID,
при этом аутентификация может быть включена для любого вида сервиса.
"Black Hole" поддерживает два режима аутентификации:
аутентификацию каждой TCP сессии
прозрачную аутентификацию
Второй режим позволяет прозрачно пользоваться всеми авторизованными
пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого
режима пользователю необходимо аутентифицироваться при помощи одного из
следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно
задать период времени, в течении которого он может использовать этот режим. Это
позволяет создать крайне удобный для пользователя режим использования firewall.
Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"
позволяет администратору системы описывать опасные события и реакцию на них
системы (вывод на консоль, звонок на пейджер и т.д.)
"Black Hole" позволяет описывать различные типы нарушений и определять реакцию
на их появление.
"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста
назначения сразу указывается необходимый сервер, без первоначального
соединения с proxy и с proxy до нужного хоста).
"Black Hole" предоставляет сервис для создания групп пользователей, сервисов,
хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность
легко описывать и администрировать большое количество пользователей.
"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,
так что настойкой системы может заниматься неискушенный в UNIX человек. Все
административные функции могут быть выполнены из этой оболочки. Ядро ОС
модифицировано для защиты графического интерфейса от внешнего доступа.
"Black Hole" предоставляет следующие возможности по конвертации адреса
источника пакета при прохождении через firewall:
адрес может быть заменен на адрес firewall;
адрес может быть оставлен без изменения;
адрес быть заменен на выбранный администратором
Последняя опция позволяет для пользователей INTERNET представлять
внутреннюю сеть как состоящую из набора подсетей.
"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через
дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).
Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом
контроль доступа и сбор статистики за использованием этих сервисов.
"Black Hole" использует для хранения и обработки статистической информации
реляционную базу данных с языком запросов SQL. Большой выбор типов выборок
по различным параметрам соединения в сочетании со средствами графического
представления
"Black Hole" функционирует на PC и Sun Sparc платформах под управлением
модифицированных версий операционных систем BSDI и SunOS.
"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.
"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79
Авторские права
Авторские права 1998 принадлежат Robert Graham (). Все права охраняются законом. Настоящий документ может копироваться (частично или полностью) только в некоммерческих целях. Все копии должны содержать это указание об авторских правах.
Безопасна ли Java?
Не всегда хорошие идеи столь же хорошо воплощаются. Так случилось и с Java. Хотя защитные механизмы этой технологии очень хорошо продуманы, но их реализация еще далека от совершенства. Поэтому далее будет приведен небольшой список возможных "нападений". Не берусь судить, насколько серьезна опасность, связанная с каждым из описанных дефектов защиты, - я не хакер. Я просто хочу предупредить об этой опасности. При этом мне бы не хотелось. чтобы у читателя сложилось мнение, что Java "беззащитна". Не стоит забывать: Java все-таки имеет достаточно мощную защиту, "взломать" которую не так-то просто.
Блокировка сервиса
Это "нападение", в результате которого частично или полностью блокируется работа пользователя и даже может быть выведен из строя браузер. Вот далеко не полный список возможных вариантов такого "нападения":
загрузка процессора бессмысленными действиями (например, бесконечным циклом); заполнение всей свободной памяти (например, в результате выполнения бесконечного цикла); захват важных системных классов, например java.net.-INetAddress.
"Тайные" каналы
Эти каналы позволяют "нападающему" получать информацию даже через систему защиты (брандмауэры). Существование "тайных" каналов в браузере делает его очень опасным. В качестве "тайного" канала можно использовать следующие действия аплетов:
посылку почты через SMTP-порт сервера (причем почта посылается от имени пользователя, который работает с аплетом); запрос на поиск по несуществующему URL-адресу, в котором в качестве параметров передаются необходимые "взломщику" данные; попытку доступа по несуществующему адресу (последовательность директорий может содержать необходимые данные).
Информация, известная аплетам
С помощью этой информации "нападающий" может получить некоторые сведения, которые впоследствии могут быть им использованы для "взлома". Эту информацию можно передавать даже через брандмауэры по тайным каналам, которые описаны выше. Аплетам обычно известна следующая системная информация:
системное время; установки функции hashcode( ); название и производитель Java-интерпретатора; версия JavaAPI; название и версия операционной системы; архитектура процессора.
Ошибки реализации
Это основной способ "нападения". Ошибки обычно очень трудно находить и исправлять. Причем для исследования пользовательской системы можно использовать информацию, которая доступна аплетам. Например, если "нападающий" знает, что в определенной версии Internet Explorer есть "полезная" для него ошибка, то, считывая с помощью аплета название и версию браузера и передавая эту информацию по тайным каналам (запрос по несуществующему URL), он получает информацию о своей "жертве".
Перехват ошибок
Java предусматривает перехват исключительных ситуаций. Это необходимо для составления более наглядных программ, благодаря которым обработку всех ошибок можно выполнять централизовано. Однако перехват ошибок позволяет игнорировать исключительные ситуации, создаваемые, например, SecurityManager. Такая ситуация очень опасна, так как позволяет "нападающему" заменить ClassLoader, SecurityManager и другие ключевые объекты. Естественно, хотелось бы блокировать подобные ситуации еще при загрузке аплета, но современные загрузчики этого не умеют. Вероятно, этот недостаток будет скоро исправлен.
Имя упаковки
Если "/" - первый символ имени упаковки, то система попытается загрузить эту упаковку с локального диска, причем загружается она с меньшими требованиями к безопасности, так как предполагается, что запускаемому с локального диска аплету можно доверять. Таким образом, любой Java-класс, который "атакующий" может записать на локальный диск, может быть загружен с ослабленной защитой. Причем "опасные" классы могут быть записаны на диск с помощью механизма кэширования браузера. Поэтому становится возможной загрузка "агрессивного" класса с ослабленной защитой. Вероятно, и этот недостаток загрузчиков будет скоро исправлен.
* * *
Перечисленные лазейки в системе безопасности Java не означают полной беззащитности пользователей при возможных "нападениях". Чтобы воспользоваться этими ошибками, хакерам еще предстоит изрядно попотеть. Поэтому не спешите стирать свой браузер, а просто относитесь к аплетам и Java-программам чуть более настороженно.
Установить баланс между возможностями загружаемых аплетов и защитой клиентской системы довольно сложно. Некоторые компании предлагают усилить защиту клиентской системы от "агрессивных" аплетов, не ограничивая при этом возможностей "благонадежных" программ. К сожалению, предлагаемые решения невозможно сделать независимыми от конкретной платформы, что противоречит требованию абсолютной переносимости Java-программ. Поэтому, видимо, информационная безопасность еще долгое время будет оставаться одним из сложных и спорных вопросов Java-технологии.
Валерий Коржов - сотрудник компании Jet Infosystems. С ним можно связаться по тел.: 972-11-82 или электронной почте
* На основе "Ответов на часто задаваемый вопросы по безопасности WWW", которые можно найти по адресу .
Безопасность Java: миф или реальность?
Валерий Коржов
Журнал #02/97
Технология Java прочно завоевывает современный компьютерный мир. Ее широкие возможности по созданию распределенных вычислений не могут оставить равнодушными ни одного разработчика программного обеспечения. Однако часто бывает так, что серьезные возможности порождают не менее серьезные проблемы, связанные с обеспечением безопасности.
Создатели Java предусмотрели определенные методы защиты данных при распределенных вычислениях, но сейчас еще трудно понять, насколько правильно были спроектированы эти защитные механизмы. Прежде чем рассказывать о предусмотренных в Java средствах защиты, необходимо сказать несколько слов о самой технологии.
Безопасность операционной системы
Брандмауэры защищают сети от внешних угроз, обеспечивая строгое управление доступом, надежную аутентификацию пользователей и возможности для шифрования данных. Часто, тем не менее, серьезные угрозы в сетевой безопасности возникают из-за внутренних пользователей. Поскольку возможности firewall по обеспечению сетевой безопасности широко известны, обеспечению необходимой внутренней безопасности операционной системы с установленным firewall уделяется сравнительно небольшое внимание.
В связи с этим, злоупотребление привилегиями операционной системы подвергает риску безопасность сети. Пользователи с доступом к основной операционной системе могут подвергнуть опасности доступность и целостность firewall и открыть сетевые ресурсы как для внутренних, так и для внешних атак.
Для обеспечения надлежащей степени безопасности для firewall-приложений и ограждения от угроз со стороны пользователей операционной системы необходимо применение укрепленных операционных систем. Укрепленная операционная система может обезопасить firewall, ограничивая доступ к критически важным процессам, файлам конфигурации, файлам данных и административным утилитам.
Выбирая защищенное решение firewall, важно выбрать одну из поддерживаемых коммерческих операционных систем. В отличие от других защищенных операционных систем, коммерчески поддерживаемые операционные системы допускают работу совместно с firewall других приложений сервера.
Check Point понимает потребность рынка в защищенном firewall решении, поддерживающем коммерческие операционные системы, и предлагает продукт SeOS Secured!
Firewall-1 SeOS Secured! увеличивает степень безопасности операционной системы, он полностью интегрирован с FireWall-1, и специально разработан для защиты консоли управления FireWall-1 от несанкционированного доступа и поддержки безопасного функционирования firewall одновременно с другими приложениями.
© ООО , 1998
Безопасность в Internet/Intranet
,
Джордж Лоутон,
,
Михаил Савельев, , #04/2002
А. В. Агpановcкий, Р. А. Хади
Криптография сегодня - это уже целая отрасль знаний, захватывающая огромные разделы других наук, целью которой является изучение и создание криптографических преобразований и алгоритмов. В настоящее время четко различаются две ветви развития криптографии: классическая традиционная криптография и современная "асимметричная" криптография...
Новичков Александр
Статья целиком посвещена описанию систем защиты от нелегального копирования программного обеспечения. Рассматриваются основные программные продукты, обеспечивающие защиту от взлома и их основные свойства. Дается вводная часть в тактику и технологию взлома.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Уязвимостью называется любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Последние несколько лет ознаменовались постепенной заменой бумажной технологии обработки информации ее электронным аналогом. Со временем можно ожидать полного вытеснения бумажного документооборота электронным. Однако представление традиционных бумажных документов в виде электронных последовательностей, состоящих из нулей и единиц, обезличивает последние. Защитных атрибутов бумажных документов: подписей, печатей и штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., - у электронного представления документов нет. Но электронные документы нужно защищать не менее тщательно, чем бумажные. Поэтому возникает задача разработки такого механизма электронной защиты, который бы смог заменить подпись и печать на бумажных документах.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Одной из главных забот любого руководителя является стабильная и бесперебойная работа своего предприятия. Любое отклонение функционирования фирмы от нормального приводит к нанесению различных форм ущерба, например, финансовые и временные потери, потеря имиджа и т.п. В последние годы эти убытки зачастую возникают из-за нарушения политики безопасности, в том или ином виде имеющейся в организации.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но... это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности. При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.
А. В. Лукацкий, Научно-инженерное предприятие "Информзащита"
Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.
Борисов В.И., начальник отдела платформенного программного обеспечения компании IBS, Забулонов М.Ю., эксперт по системам антивирусной защиты
В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, по сути дела являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.
Превод с англ. и доработка текста: Oleg Prolubshikov
Titov Oleg,
Михаил Елагин ()
Александр Аграновский (), Роман Хади ()
Перевод статьи -
, перевод: Василий Кондрашов
Беляев А.В., ЧФ СПбГТУ
Илья Басалаев a.k.a. Scarab.
О. В. Генне, ООО "Конфидент" , No.3, 2000
Мэтью Ньютон , #06/2000
Джоул СНАЙДЕР, журнал "", #02/2000
Дебора РЭДКЛИФФ, Журнал , #02/2000
Алексей Абсалямов, , #03/2000
, #02/2000
Виктор Олифер,
Виктор Олифер,
Медведовский И.Д., Семьянов П.В., Платонов В.В., НПО "Мир и семья-95", 1997 г.
Алексей ЛУКАЦКИЙ, НИП "Информзащита", СЕТИ #10/99
Валерий Коржов, журнал #02/97
Владимир Казеннов
перевод Владимира Казеннова
Robert Graham, перевод Алексея Лукацкого, НИП "Информзащита"
НИП "Информзащита"
НИП "Информзащита"
Э. Гутман, Л. Леонг, Дж. Малкин
Владимир Казеннов
,
А.Лукацкий, руководитель отдела Internet-решений НИП "Информзащита"
Официальные документы и публикации ГосТехКомиссии России
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена "Р-Альфа"
Авторизованный перевод Владимира Казеннова статьи Дж. Чандлер "Cryptography 101"
Перевод Владимира Казеннова
Перевод Владимира Казеннова
Перевод Владимира Казеннова
M.E. Kabay, перевод компании
MB, Сервер "Частная жизнь в Интернете"
Фоменков Г.В., Академия ФСБ РФ
Е. В. БАЛАКШИН, С. В. ХЛУПНОВ, Корпорация ЮНИ
Информация предоставлена "Р-Альфа"
В. Галатенко, И. Трифоленков, АО "Инфосистемы Джет"
С.Рябко, АО ЭЛВИС+
В. Бутенко, В. Громов, Гостехкомиссия России
М. Ганев, "Р-Альфа"
Корпорация ЮНИ
И. Трифаленков, Jet Infosystems
Межсетевой экран BlackHole является фильтром
Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от
несанкционированного доступа машин в приватной сети. Поддерживаются все
стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP,
TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран
располагается между приватной сетью и глобальной сетью Internet.
Межсетевой экран базируется на принципе - "что не разрешено, то запрещено".
Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого"
соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью
блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы.
BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные
условия для пользователей защищенной сети, поэтому имеет прозрачный режим
работы. В последнем случае пользователь аутентифицируется при первоначальном
использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в
течение времени, определяемого администратором.
Аутентификация пользователей производиться по следующим правилам:
Где находиться с использованием исходного и конечного адресов
запроса
Что хочет с использование типам запрошенного сервиса
Когда хочет с использованием времени суток и даты запроса
Что он знает с использованием имени пользователя и пароля
Что у него есть с использованием смарт-карты
Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.
Дата и время суток
Тип соединения или протокол
Исходный адрес инициатора
Удаленный адрес запроса
Номер порта для "сырого" соединения
Имя аутентифицированного пользователя
Информацию о трафике
Благодарности
Спасибо следующим людям за полезную информацию: Olaf Schreck (), John Kozubik (), Aaron Bawcom (), Mike Kienenberger ().
Блокирование Java и ActiveX
Возможности FireWall-1 по сканированию и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, как, например, сетевой адрес компьютера клиента и сервера, запрашиваемый URL или зарегистрированное имя пользователя.
FireWall-1 может производить следующие действия над обнаруженным кодом Java и ActiveX:
Удаление Java-аплетов, встречающихся в тексте HTML-страницы
Удаление Java-аплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована
Блокирование Java-атак путем запрещения подозрительных обратных соединений
Удаление ActiveX-аплетов, встречающихся в тексте HTML-страницы
Удаление кода JavaScript, встречающегося в тексте HTML-страницы
Боязнь открытых текстов
Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.
