ВЗГЛЯД НА INTERNET

 

Три года назад в конце января начал действовать узел PC Week Online. И хотя я порой с нежностью вспоминаю те первые месяцы, когда он заработал на Linux-сервере рядом с моим кабинетом, но о чем я определенно не жалею  -  так это о волнениях по поводу безопасности.

 

Поначалу я учился управлять не только Internet-сервером, но и системой Unix. Как легко предположить, безопасность в результате оказалась на грани катастрофы. Буквально все Internet-службы выполнялись в режиме root (супервизор), так что целые блоки файловой системы оставались безо всякой защиты. Десятки учетных записей не использовались и легко могли быть вскрыты, поскольку были названы именами моих детей.

 

Неведение блаженно, и я ни о чем не беспокоился, пока администраторы сети не узнали о заряженном ружье, которым я беззаботно размахивал внутри корпоративного брандмауэра. Они стали посылать мне сообщения о различных проблемах безопасности в Linux, и, забывая о времени, я срочно устанавливал на систему “заплатки”. Я начал читать жуткие книжки о безопасности Unix и Internet, что привело к ночным кошмарам.

 

В конце концов  -  как раз перед тем, как передать PC Week Online компетентным профессионалам,  -  я стал понемногу соображать, как свести к минимуму риск для Web-узла и корпоративной сети. Например, на сервере должны быть лишь необходимые сетевые службы и учетные записи пользователей, нужно периодически проверять файловую систему на наличие изменений и внимательно следить за собственным системным журналом и за помещаемой в Internet информацией о безопасности.

 

Сейчас все эти советы хорошо описаны, например, в пособии WWW Security FAQ (www-genome.wi.mit.edu/ WWW/faqs/www-security-faq.html), но, похоже, все еще нуждаются в повторении. Несмотря на многие годы интенсивного обсуждения вопросов безопасности и изобилие информации в Internet, проведенное в декабре прошлого года исследование более 2000 известных узлов Internet ( http://www.trouble.org/survey/ ) показало, что у двух третей из них имеются серьезные пробелы в системе безопасности.

 

Автор исследования Дэн Фармер с помощью созданной им утилиты SATAN (Security Administrator Tool for Analyzing Networks  -  Утилита менеджера по безопасности для анализа сетей) изучил “заметные” узлы, например те, которые принадлежат банкам, федеральным ведомствам и коммерческим предприятиям. В результатах Фармера сильнее всего поражает то, что SATAN находит лишь самые известные пробелы в безопасности, сущность и способы исправления которых описаны много лет назад. SATAN и была задумана для того, чтобы напоминать об этих проблемах и заставить людей их решить. Похоже, из этого ничего не вышло.

 

Эта неудача проявилась в реакции на исследование Фармера  -  большинство предпочло “спрятать голову в песок”. В основном обсуждалась дерзость Фармера, который изобрел инструмент, способный легко найти проблемы  -  безо всякой помощи людей, отвечающих за узел.

 

Отчасти я могу понять чувства тех, кто выступает против распространения сведений о проблемах до появления подходящих решений. Однако я предпочел бы знать, что другие предпринимают по поводу уязвимых мест моих серверов.

 

Конечно, такие утилиты, как SATAN, и такие исследования, как проведенное Фармером, вызывают определенные опасения. Но они также дают информацию, которую надо приветствовать и использовать.

 

Имонн Салливан

 

Когда информации о дырах в системе безопасности становится слишком много? Переходим ли мы эту границу? Сообщите мне по адресу: esullivan@zd.com.

 

Неведение блаженно. Мне ни разу не пришло в голову побеспокоиться

Версия для печати