ИНТЕРВЬЮ
Сегодня в области информационной безопасности не так много специалистов столь высокой квалификации, какую имеет Кен Катлер. Обладатель целого ряда престижных сертификатов (Certified Information Systems Security Professional - CISSP, Certified Information Systems Auditor - CISA, Certified Information Security Manager - CISM), вице-президент MIS Training Institute (www.misti.com), консультант независимой фирмы Ken Cutler & Associates, он одновременно является и преподавателем российского учебного центра по информационным технологиям "Микроинформ" (www.microinform.ru).
Об информационной безопасности беспроводной связи, о разработке ПО, из-за ошибок в котором компьютерные системы становятся уязвимыми для вирусных атак, и о других связанных с этими проблемами аспектах с Кеном Катлером беседуют редакционный директор ИТ-изданий "СК Пресс" Эдуард Пройдаков и корреспондент PC Week/RE Алексей Воронин.
Кен Катлер
PC Week: В Швеции недавно был реализован локальный проект по использованию беспроводных технологий в медицинской сфере. На здании городской больницы установлена WiMAX-станция, а на автомобилях скорой помощи - Wi-Fi-клиенты. В результате помощь на дому могут оказывать медсестры, которые при необходимости оперативно получают консультации врачей, используя ноутбуки. Как обеспечивается информационная безопасность в такого рода комплексах?
Кен Катлер: Первая большая проблема беспроводной связи - глушение, которое может сделать точки доступа в сеть неработоспособными. Обеспечение конфиденциальности и целостности информации - следующая важная задача. Наиболее эффективно она решается аутентификацией пользователей с применением электронных ключей e-Token, смарт-карт с цифровыми сертификатами или устройств, обрабатывающих биометрические данные. Еще один критический фактор для информационной безопасности - эффективное использование VPN. Впрочем, это важно и для проводных сетей.
Среди специалистов и в прессе в свое время было много шума по поводу низкой безопасности беспроводной связи в ее первоначальных реализациях. Противникам беспроводных сетей я советую следующее: обращайтесь с ними точно так же, как с проводными или со слабо защищенным каналом в Интернете. На самом деле единственное принципиальное отличие беспроводной связи от проводной при эксплуатации и обеспечении безопасности заключается в том, что она не застрахована от глушения, хотя сегодня пытаются решить и эту проблему.
В комплексных проектах, об одном из которых вы упомянули, должны быть задействованы все основные службы информационной безопасности: аутентификация, шифрование, межсетевые экраны, фильтрация. Необходима строгая проработка архитектуры решения. В долгосрочной перспективе обязателен упор на усиленную аутентификацию. То есть постоянная задача будет заключаться в том, чтобы узнать, кто этот пользователь, пытающийся подключиться к сети, а не где он находится (конечно, если речь не идет о глобальном позиционировании). Что касается WiMAX, то безопасность этой технологии пока не определена каким-либо отдельным стандартом или спецификацией.
PC Week: Расскажите, пожалуйста, подробнее об использовании VPN как инструмента, обеспечивающего безопасный доступ в корпоративную сеть.
К. К.: Есть два типа сеансов соединений - подключение одной корпоративной сети к другой (например, подключение сегмента сети компании "Микроинформ" к сети MIS Training Institute) и соединение индивидуального пользователя с корпоративной сетью (скажем, Кен Катлер из Москвы подключается к сети MIS Training Institute в американском штате Массачусетс), а также два основных компонента обеспечения их безопасности - аутентификация пользователя и защита сеансов. Во втором варианте соединения задача аутентификации сложнее. Массачусетс хочет быть уверен, что на противоположном конце линии именно Кен Катлер, а не кто-то другой, пытающийся выдать себя за него. О том, какие элементы может включать система аутентификации, я уже говорил: ключи e-Token, смарт-карты, биометрические устройства. По уровню рисков беспроводную связь и удаленный доступ я обычно отношу к одной категории: очень высокий.
Для VPN существует три основных протокола обеспечения безопасности - IP Security (IPSec), Secure Sockets Layer (SSL) и Secure Shell (SSH).
Протокол IPSec на протяжении многих лет является наиболее распространенным, это проверенный временем вариант безопасного соединения сетей. Он требует установки специального клиентского ПО на компьютер пользователя и поддерживает любые типы приложений.
Протокол SSL десятилетие с лишним широко применяется для защиты соединений с Web-сайтами, например при покупках через Интернет. В качестве клиента он фактически использует стандартный браузер, в который встроена технология SSL. Поэтому нет необходимости устанавливать на пользовательский компьютер специальное клиентское ПО, и в этом смысле открываются большие маркетинговые возможности для привлечения массовых покупателей и пользователей. Но зато появляется дополнительный риск атак со стороны точек доступа с сомнительной репутацией, например некоторых интернет-кафе. Проблема в том, что в такой ситуации корпоративной сети ничего не известно о компьютере, с которого осуществляется подключение к сети. Его нельзя проверить на предмет наличия шпионских программ, поскольку на нем наверняка нет программного агента для поддержки протокола IPSec, который выполняет всю необходимую работу по поиску, обнаружению и блокированию вредоносных программ. Таким образом, протокол SSL обеспечивает гибкость использования (браузер-то есть практически на каждом ПК), но при этом повышает риск несанкционированного проникновения в сеть из-за фактора "неизвестного компьютера". Пожалуй, SSL оптимально приспособлен для деловой переписки по электронной почте при работе вне офиса.
Наконец, третий протокол - SSH - используется в Unix-системах (входит в состав большинства дистрибутивов ОС) и в сетевых устройствах (включается в пакеты шифрования Cisco) для защиты сеансов дистанционного администрирования. Однако он накладывает ряд ограничений на приложения, с которыми может работать.
Для каждого из трех упомянутых протоколов главным остается качество аутентификации пользователя и безопасность точки его подключения.
Но вернемся к варианту сеанса связи двух сетей. Допустим, что некая компания хочет сократить затраты на организации линии связи и пытается использовать интернет-канал в качестве магистрали. В этом случае взаимная аутентификация сетевых сегментов происходит без участия специалистов и может быть осуществлена либо за счет использования так называемого "общего секрета" (shared secret), либо с помощью цифровых сертификатов. "Общий секрет" более уязвим для атак методом простого перебора возможных вариантов шифра доступа, он плохо управляем в плане регулярности смены "секрета" и тем не менее, как это ни прискорбно, широко используется.
Метод генерации цифровых сертификатов, возможно, имеет ограничение в применении, когда счет пользователей идет на сотни тысяч, но если их несколько сотен - это очень разумный вариант.
PC Week: Специалисты утверждают, что доверие к надежности ключей шифрования длиной 256 бит может быть подорвано...
К. К.: Как известно, существует два типа шифрования - с открытым ключом и симметричное. Последнее используется для больших потоков данных. Криптография с открытыми ключами применяется для аутентификации, которая может включать цифровые подписи, защиту целостности данных и обмен общими ключами в безопасной оболочке. Что касается риска дискредитации ключей, то тут нужно уточнить, о каком алгоритме шифрования идет речь. Например, алгоритм DES (Data Encryption Standard) имел ограничение по длине ключа всего в 56 бит, и его можно было взломать очень быстро. Новый стандарт AES (Advanced Encryption Standard), одобренный Национальным институтом стандартов и технологий США (NIST), насколько я могу судить, достаточно хорош, по крайней мере для обозримого будущего. Есть еще один неплохой стандарт - TripleDES, но он объективно менее эффективен, чем AES: он только приближается к AES с ключом 128 бит, но требует при этом значительно больших вычислительных ресурсов. Если вспомнить требования к AES, опубликованные National Institute of Standards & Technology (NIST) перед проведением соответствующего конкурса, то они были таковы: шифрование должно быть намного надежнее, чем в случае DES, чтобы оно допускало сертификацию и было эффективным на маломощных вычислительных устройствах. Выиграл, как известно, алгоритм Rijndael бельгийских математиков Винсента Риджмена и Джоан Деймен.
PC Week: Как следует размещать точки беспроводного доступа? Нужно ли искусственно ограничивать их мощность?
К. К.: Новый стандарт Wi-Fi 802.11n (включающий технологию Multiple-In, Multiple-Out - MIMO), который в настоящее время еще находится в стадии сертификации, имеет целью обеспечить более широкую полосу пропускания в сочетании с большей дальностью действия. Отчасти это достигается за счет использования большого количества должным образом расположенных и сфокусированных антенн и специализированного управления частотами. Однако до сих пор между разработчиками стандартов существуют разногласия относительно настройки всех этих параметров. Повторюсь: с точки зрения обеспечения информационной безопасности важнее вопрос качественного шифрования информации, которая передается по каналам беспроводной связи. Если это сделано, то перехватчик вместо важной информации получает "кучу мусора". Разумеется, шифрование исходящего потока информации и дешифровку входящего нужно завершать в безопасной зоне, глубоко внутри проводной сети, чтобы нельзя было осуществить атаку на физическом уровне в момент, когда информация расшифрована, поскольку тип хакерской атаки под названием ARP Cache Poisoning (буквально - порча или "отравление" кэша. - Прим. ред.) довольно легко выполним. Следовательно, чтобы правильно разместить точки доступа беспроводной связи, необходимо сначала ответить на ключевой вопрос: где именно завершается шифрование информации? Оно, как мы уже выяснили, должно происходить в безопасной области, т. е. в зоне кабельного соединения. Ситуация осложняется еще и тем, что существует большое количество полуавтоматических инструментов атаки на беспроводную связь с управлением на уровне "нажатия одной кнопки", которыми легко может воспользоваться даже не самый опытный хакер.
PC Week: Сталкивались ли вы со случаями глушения беспроводной связи на практике?
К. К.: Большие возможности злоумышленников в глушении точек доступа к беспроводной сети доказаны и демонстрировались на многих конференциях по безопасности информации. Необходимое для этого оборудование купить несложно. Вы спросите, кому это может быть нужно? Любому, у кого есть мотив, - военным разведчикам, террористам, хакерам для удовлетворения собственного тщеславия...
PC Week: В проводном Интернете уровень хакерства высок. А как с этим обстоит дело в беспроводном?
К. К.: Наиболее привлекательная цель для взлома - Web-сайт; тут можно провести сравнение с банком, имеющим вполне определенный почтовый адрес, по которому его легко могут найти грабители. Что касается беспроводной связи, то здесь хакер сначала должен найти нужный канал доступа. При подключении к Интернету где-либо в публичном месте кто-то может наблюдать за тем, что делает злоумышленник, и помешать ему. Большинство крупных организаций для обеспечения высокого уровня безопасности при беспроводном доступе в корпоративную сеть используют VPN. Обычные же интернет-пользователи могут подвергаться фишинг-атакам, у них могут быть украдены личные данные - коды доступа к номерам банковских счетов, кредитных карточек и т. д.
Одна из распространенных и довольно эффективных атак на Web-сайты -"инъекция" SQL-запроса [SQL injection] в базу данных. Проводится такая атака следующим образом. Предположим, приложение на сайте некоего банка для удаленного обслуживания клиентов имеет экранную форму для ввода данных, причем введенная информация заносится непосредственно в БД. Если разработчиками программы не предусмотрен контроль поступающей информации (например, в поля "имя" и "фамилия" разрешены для ввода только символы, в поле "годовой доход" - только цифры, запрещен ввод некоторых символов и их последовательностей, характерных для SQL-команд, и т. д.), то злоумышленник, знающий СУБД, в которой хранятся данные, может через экранную форму передать в БД необходимую SQL-команду и вытащить оттуда конфиденциальную информацию - например, все имеющиеся в базе записи с номерами действующих кредитных карт клиентов. И если автоматизированная банковская система спроектирована так, что в одной БД хранятся счета клиентов, как использующих Интернет, так и не использующих его, то в руки злоумышленника попадет информация по всем клиентским счетам, а не только по держателям счетов, использующим Интернет.
Таким образом, мы вышли на одну из самых болезненных проблем в области информационной безопасности: плохое, т. е. не продуманное на стадии проектирования и некачественно протестированное ПО. Это глобальная проблема, которая касается всех разработчиков - и поставщиков системного ПО (в том числе и Microsoft), и создателей приложений для коммерческого использования, и авторов внутренних разработок компаний.
PC Week: Год назад корпорация Microsoft начала борьбу за безопасность ПО. Написаны целые тома на тему, как разрабатывать безопасный софт. Вы заметили какие-то положительные сдвиги в этом направлении?
К. К.: Если быть честным - нет. Зайдите на сайт www.nvd.nist.gov, где размещена база данных всех уязвимостей [NVD - National Vulnerability Database] по всей отрасли, и сами убедитесь в этом. Это только один источник. А если вы проведете поиск в Интернете по словосочетанию "уязвимости Microsoft", вам все станет ясно и без моих комментариев. Что же касается книг от Microsoft по безопасности софта, то сами по себе они хороши. Руководству компании осталось позаботиться "только" о том, чтобы их внимательно прочитали собственные сотрудники.
PC Week: В России очень популярны книги Кевина Митника. Каково ваше отношение к этому автору?
К. К.: Несомненно, Митник был отцом современного хакинга. Он относится к первой волне хакеров, мишенью атак которых были в первую очередь телефонные компании, а не компьютерные системы, - хакеры тогда извлекали выгоду, подключаясь к телефонным услугам. И надо признать, что с телефонным аппаратом в руках хакер Митник был более опасен, чем большинство современных взломщиков с компьютером.
Другой целью хакеров уже тогда стали компьютеры государственных организаций, подключенные к Интернету в самое первое время его существования. Сообщение о массовом заражении компьютеров так называемым "червем Морриса" было опубликовано в Wall Street Journal в "черный четверг" - 3 ноября 1988 г. До этого вообще мало кто знал о существовании Интернета. Это была первая публичная демонстрация атаки, предполагающей переполнение буфера. Увы, сегодня, 17 лет спустя, плохого программного кода, уязвимого для атак, стало только больше. И я вынужден процитировать Бенджамина Франклина: "Опыт - это дорогая школа, но глупцы ни в какой другой учиться не могут".
PC Week: Есть реальная проблема: разработчикам невыгодно писать хороший софт, потому что сложно найти средства на дальнейшую модернизацию...
К. К.: Я вам скажу следующее: нужно парочку таких "орлов" - разработчиков плохого ПО - вытащить в суд и предъявить им счет. Представьте, в какие миллиардные суммы обходится компаниям борьба с вирусами, а ведь вирусы используют ошибки кода.
PC Week: Но в лицензионных соглашениях компании-разработчики, как правило, пишут, что они не несут ответственности...
К. К.: Это может быть оспорено в суде. Корпорация Microsoft, например, раньше тоже была уверена, что защищена от обвинений в монополизме.
Чтобы быть справедливым в отношении Microsoft, скажу, что за последние годы для обеспечения безопасности конфигурирования ПО они сделали больше, чем другие поставщики. Ведь двумя основными причинами нарушения политики безопасности остаются неправильная конфигурация ПО, т. е. фактически пренебрежение стандартными функциональными возможностями, и ошибки в программном коде.
PC Week: Вам приходилось обучать специалистов по информационной безопасности по всему миру - в Америке, Африке, у нас в России. Как вы оцениваете нашу аудиторию слушателей курсов?
К. К.: Отметил бы хорошую подготовленность ваших соотечественников, их трудолюбие. К сожалению, в силу языкового барьера не всегда получается диалог...
PC Week: В заключение нашей беседы скажите: а возможно ли создание безопасного ПО в принципе? В чем основная причина его недостаточной защищенности?
К. К.: Безопасное ПО реализовать вполне возможно. Все дело в ленивых программистах, слабом контроле за их работой и некачественном тестировании программ.
PC Week: Спасибо за беседу.
