Питер Коффи (PC Week Labs)
Научная фантастика проливает свет на пороки систем обеспечения безопасности корпоративных компьютерных сетей
Чтобы предугадать будущие угрозы безопасности корпоративных вычислительных сетей и заблаговременно к ним подготовиться, волшебного зеркала не требуется. Достаточно будет и библиотечного абонемента. Огромные возможности мошенничества с удаленным доступом и прогрессирующее устаревание любых известных архитектур обеспечения безопасности актуализируют творения писателей-фантастов, давно уже предвидевших как социальные последствия, так и - в широком плане - технические усовершенствования, формирующие круг забот современного администратора корпоративной сети. В течение по крайней мере двух десятилетий авторы приключенческих романов, включающих элементы описаний высоких технологий, гий, и первые ренегаты мира “киберпанков” демонстрируют замечательный дар предвидения.
Правдоподобная фантастическая повесть может оказаться намного полезнее скучной прозы полного и точного технического описания предмета, если задача состоит в том, чтобы разбудить в людях желание бороться с встающими перед ними сложностями. Тем не менее опубликованная в 1997 г. книга Риты Саммерс “Безопасность вычислений: существующие угрозы и меры противодействия им” (“Secure Computing: Threats and Safeguards”, издательство McGraw-Hill, ISBN 0-07-069419-2) может служить великолепным источником информации по данному вопросу. Саммерс, ветеран корпорации IBM, предлагает сетевому администратору общие исходные положения для разработки плана построения конкретного узла начиная с таких фундаментальных аспектов, как отчетность, этика осведомленности, соразмерность мер защиты, степени риска и системный подход, учитывающий многообразие аспектов и возможность изменения приоритетов вследствие неизбежного развития в будущем.
Важнейшее достоинство этой книги - всесторонний охват проблемы. Простая, но обладающая полнотой система, если она надлежащим образом реализована, обеспечит лучшую защиту, нежели более сложная, но такая, в которой вследствие дороговизны будут оставлены неприкрытыми некоторые элементы вторичного риска либо возможность небольших, но влекущих тяжкие последствия ошибок конфигурирования.
Не менее легко впасть в эйфорию по поводу наиболее экзотических, не сходящих с газетных полос достижений таких дисциплин, как, например, криптография, и упустить при этом из виду некоторые приземленные реалии вроде того, что рядовой пользователь слишком склонен задавать в качестве пароля девичью фамилию своей матери. Сеть может быть защищена шифром с ключом килобитной длины и самыми современными алгоритмами обеспечения конфиденциальности данных, но достаточно одного слишком беспечного или не очень осведомленного пользователя, чтобы сделать ее подобной банковскому хранилищу с кодовым замком, на двери которого написана отпирающая комбинация.
Пожалуй, это еще слишком мягкая аналогия. По крайней мере уж с самим-то банковским хранилищем никто ничего не сделает, многие же сети легко поддаются не только извлечению из них данных, но и разрушительным воздействиям извне. Если первое лишает пользователей таких неосязаемых преимуществ, как конфиденциальность, то последнее - вполне материальных, например возможности проведения деловых операций, пропадающей в то время, когда сеть находится в нерабочем состоянии.
Сломать сеть проще простого. Бессмысленно, скажем, говорить об уровне защиты от сбоев, который обеспечивают резервирование серверов и специальные операционные системы, если и основной и резервный серверы питаются от одного источника электроэнергии.
Нет никакого смысла устанавливать дисковый массив RAID в комнате, которая неизбежно подвергнется затоплению в случае тушения пожара.
Менее очевидными, но все более реальными становятся угрозы электромагнитных воздействий, как случайных, так и злонамеренных. Полупроводниковый кристалл микроскопических размеров, каждый из нескольких миллионов транзисторов которого рассеивает ничтожные микроватты мощности, может быть необратимо поврежден всплеском микроволнового излучения, который так легко сгенерировать.
Но не все так страшно. Среди разработчиков растет осознание той истины, что средства обеспечения безопасности необходимо закладывать в первоначальный проект, а не добавлять к уже готовым системам. Такие важнейшие из развивающихся сейчас технологий, как, например, Java и IPv6, учитывают эти требования уже в самой постановке проблем, которые они предназначены решать.
Однако законодательство, практика найма на работу и другие социальные установления не считаются с возрастающей важностью и ценностью потоков электронных транзакций и централизованных хранилищ данных. Вездесущность Internet делает эту сеть дешевым, быстрым и простым в использовании средством для интеграции информации из многих источников. В результате под угрозой оказывается конфиденциальность персональной информации при всей кажущейся невинности каждого индивидуального запроса на получение таких данных.
За преимуществами удобства и прозрачности беспроводных коммуникаций легко не заметить таящейся здесь опасности: ведь передаваемую с помощью этих средств информацию без труда можно извлечь буквально из воздуха, без совершения какого-либо физического и легко обнаруживаемого противозаконного деяния, такого, как нарушение чужого права владения.
Технологии приходят на помощь
Но наконец-то технологические достижения начинают служить не только “злодеям”, но и “правильным людям”.
Те же самые сверхбыстрые микропроцессоры, что позволяют взламывать схемы шифрования методом “грубой силы”, делают возможной автоматическую идентификацию личности по голосу, лицу, отпечаткам пальцев и рисунку радужной оболочки глаза с высокой степенью точности и минимальными неудобствами для человека.
Высокоскоростные каналы передачи данных вполне оправдывают накладные расходы на введение в поток конфиденциальной информации специальных заголовков и других групп битов, используемых системами защиты.
Средства анализа пакетов, применяемые для низкоуровневой диагностики неисправностей в сети, могут быть использованы и на более высоком уровне анализа - для выявления подозрительной деятельности.
Огромные объемы вычислений, необходимых для обмена ключами без передачи конфиденциальных сведений и для реализации других вычислительно сложных криптографических протоколов, могут выполняться на серверах и клиентских машинах сети за счет неиспользуемых в основной работе тактов центральных процессоров. Отрицательное влияние такой схемы на осуществление других вычислений (при условии, что приняты надлежащие меры, предотвращающие перегрузку сервера из-за некорректных криптографических запросов) будет минимальным.
Однако сетевому администратору никогда нельзя успокаиваться, какими бы механизмами защиты ни оснастил он свою систему. Очень легко впасть в заблуждение, полагая, будто созданная архитектура обеспечения безопасности образована множеством независимых слоев, в то время как на самом деле она состоит из взаимосвязанных компонентов и ее общая надежность определяется надежностью самого слабого звена.
Например, сетевой администратор, считающий, будто идентификация по голосу сама по себе обеспечивает более высокий уровень надежности по сравнению с использованием паролей, упускает из виду, что на некотором этапе работа и того и другого механизма сводится к передаче определенной последовательности битов по нужному соединению в нужный момент времени.
Если кто-то задастся целью взломать систему защиты и будет располагать для этого временем и деньгами, он сумеет выудить из сети нужный пакет, чтобы затем сделать себе “электронную пластическую операцию” с той же легкостью, с какой воспользовался бы перехваченным паролем, не защищенным шифром. Чем больше распределена сеть, тем больше у злоумышленника возможностей получить необходимый для проведения электронной атаки физический доступ к системе.
Осознавая неумолимость прогресса средств и методов взлома систем обеспечения безопасности, мы понимаем и неизбежность статистической природы защитных мер. Живое, конструктивно-параноидальное воображение является, пожалуй, важнейшим из интеллектуальных достоинств защитника корпоративных сетей от будущих угроз. Не много найдется других столь же малополезных занятий, как внедрение и администрирование каких бы то ни было технологий и стратегий обеспечения безопасности без опоры на результаты систематического исследования, направленного на оценку существующих и предполагаемых в будущем факторов риска.
Долговременные тенденции
Учет долговременных тенденций имеет важнейшее значение. Именно этим объясняется, например, замечательная сбываемость предсказаний авторов кибернетической фантастики, несмотря на отсутствие у многих из них каких-либо глубоких познаний в области информационных технологий.
В своей стостраничной повести “Настоящие имена” (“True Names”) Вернор Виндж предсказал слияние методов компьютерных игр с технологиями мировых коммуникационных систем.
По собственному мнению автора, незнание компьютерных технологий (на момент написания повести), похоже, сослужило ему добрую службу, не дав “утонуть в деталях текущего момента”. Эта мысль высказана Винджем в предисловии, которым он снабдил свою повесть, написанную в 1981 г., в сборнике, выпущенном в 1987 г. под тем же названием (издательство Baen Books, ISBN 0-671-65363-6). “В конце концов, - пояснил он, - я знал, к чему все в результате придет!”
Уильям Гибсон написал в 1982 г. короткую повесть “Сияние хрома” (“Burning Chrome”, издательство Ace, ISBN 0-441-08934-8), впервые набрав - на механической пишущей машинке - слово “киберпространство”. Тот же инструмент он использовал и для создания в 1984 г. своего романа “Нервнобольной” (“Neuromancer”) - еще одного произведения, определившего лицо жанра (издательство Ace, ISBN 0-441-56959-5). За компьютер Гибсон пересел только после того, как у его верного механического друга сломалась одна из важнейших составных частей, давно снятая с производства, а аналогичная современная модель, как оказалось, обошлась бы ему дороже, чем Apple II.
Тем самым писатель подал сетевым администраторам достойный пример для подражания. Он не позволил навязать себе мнение, будто новейшая технология по определению лучше старой; вместо этого он спокойно дождался, пока стоимость поддержания существующей системы в рабочем состоянии не превысила цену модернизации. Набор функциональных возможностей и цена (а вовсе не использование той или иной технологии) вот что должно быть фактором, определяющим своевременность перехода.
Эффективные стратегии обеспечения безопасности в этом отношении ничем не отличаются от пишущих машинок. Концентрация внимания на функциональных возможностях сети (а совсем не на применяемых в ней технологиях), а также на соразмерности риска и используемых для их предотвращения средств позволит свести к минимуму расход времени и денег при обеспечении того уровня защиты информационных ресурсов, которого они заслуживают. Это действенный закон как на сегодня, так и на предстоящие десятилетия.
Вымысел
“Они проскочили через слепое пятно в русских оборонительных линиях и собирались уже внедрять Крота-9, как вдруг русские импульсные пушки погрузили их в полный электронный мрак+ все системы выведены из строя, бортовая электроника перестала существовать”.
“Neuromancer” Уильяма Гибсона (издательство Ace Books, Нью-Йорк, 1984 г.)
Факт
“Угадайте, во что способны превратить компьютерную сеть или коммуникационную систему радиочастотные пушки высокой мощности, созданные специально с целью причинения вреда. Мне приходилось видеть некоторые домашние поделки, способные генерировать импульсы мощностью 12 МВт. Необходимые наборы компонентов можно приобрести по каталогу”.
“Information Warfare, 2nd Edition” (“Информационная война”, 2-е издание), Уинн Швартау (издательство Thunder’s Mouth Press, Нью-Йорк, 1996 г.)
PC Week рекомендует
Проанализируйте, насколько ответственное сетевое оборудование подвержено электромагнитному воздействию (случайному или преднамеренному), а также другим физическим угрозам, таким, как пожар или наводнение, и примите меры к уменьшению этой угрозы.
Вымысел
“Средства предотвращения вторжения приняли его за обычную передачу данных из лос-анджелесского комплекса. Настоящие же лос-анджелесские пакеты будут перехвачены вирусными субпрограммами, которые он разбросал вдоль пути своего вторжения”.
“Neuromancer” Уильяма Гибсона (издательство Ace Books, Нью-Йорк, 1984 г.)
“Одно из любимых развлечений вандалов - проникновение в офисные компьютерные системы и раздача сотрудникам от лица вышестоящих начальников абсурдных и невыполнимых заданий”.
“True Names” Вернора Винджа (издательство Baen Books, Нью-Йорк, 1981 г.)
Факт
Спецификации IPv6 описывают заголовок аутентификации (Authentication Header) и блок зашифрованной полезной информации (Security Payload). Первый из этих компонентов обеспечивает аутентификацию - процедуру, гарантирующую подлинность указанного в заголовке пакета адреса его источника, и удостоверяет, чФакт то в пакет не были внесены изменения на протяжении пути его следования. Второй компонент гарантирует, что прочитать его содержание смогут только те, кому он адресован”.
“IPv6: The New Internet Protocol, 2nd Edition” (“Протокол IP, версия 6: новый Internet протокол, 2-е издание”), Кристьен Хьюайтем (издательство Prentice-Hall PTR, Нью-Джерси, 1998 г.).“Технологический инструментарий, применимый для взлома систем защиты со всеми вытекающими отрицательными последствиями, доступен даже любителям”.
Роберт Т. Марш, председатель Президентской комиссии по защите критически важнейших инфрастуктур, январь 1997 г.
PC Week рекомендует
Составьте план внедрения IPv6-процедур на системах IPv4 и/или осуществите одновременный перевод на IPv6 сразу всех ответственных компонентов сети.Применяйте формальные стратегии для ограничения использования сотрудниками в помещениях компании своей собственной электронной аппаратуры, в особенности радиопередатчиков (таких, как сотовые телефоны или передатчики дециметрового диапазона системы Family Radio Service).
Вымысел
“Послушай, ведь все совершенно законно. В сущности, эта штука обладает не большими возможностями, чем обычный игровой интерфейс”.
“True Names” Вернора Винджа (издательство Baen Books, Нью-Йорк, 1981 г.)
