Курс лекций «Проблемы безопасности в информационных технологиях»



жүктеу 4.51 Mb.
бет44/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   36   37   38   39   40   41   42   43   44

Заключение


Сегодняшний «рельеф» в области безопасности информационных технологий выглядит очень сложным и очень динамично меняющимся: появляются новые технологии, новые методы, угрозы растут количественно и качественно. Иногда бывает так, что в угрозах реализуются относительно старые идеи, которые были неактуальны в своё время из-за, например, малых доступных объёмов ОЗУ в системах тех лет или из-за невысокой производительности старых процессоров.

Количественные характеристики роста числа угроз можно оценить, например, по росту размеров баз антивирусных сигнатур у одного из главных разработчиков антивирусных продуктов – компании Symantec: за последние несколько лет (5-6) объём этих баз (запакованных с помощью zip) вырос в шесть-семь раз – примерно с 25-30 мегабайт до 180-190 мегабайт! При этом сигнатурный анализ – это всегда ответная реакция, в ответ на уже появившийся и, возможно, уже широко распространившийся вирус. Как вывод: обязательно наличие проактивных технологий защиты на всех уровнях, и в виде IPS, и в антивирусных продуктах, и в технологиях типа UAC.

Сегодня можно говорить даже о некотором системном кризисе в антивирусной индустрии, проиллюстрированном шуточным рисунком ниже, но ведь, как известно, в каждой шутке есть доля шутки:


Рис.141 Вирусы и антивирусы: давно и сейчас.
Ещё одним симптомом кризиса в AV-индустрии можно назвать «эпидемии» некоторых, казалось бы, давно уже забытых «древних» вирусов, которые случались в последние полтора-два года. Их причиной, как выяснилось, стало удаление сигнатур старых вирусов из современных баз данных. Таким образом производители AV пытались отреагировать на практически экспоненциальный рост объёмов антивирусных баз, размеры которых уже представляют серьёзные проблемы при работе и при обновлениях.

Угрозы безопасности, исходящие, условно говоря, «из сети», сегодня также растут невероятными темпами. Новые угрозы возникают с новыми технологиями, при этом проблемы «старых» угроз никуда не исчезают. Протоколы ARP, DHCP и некоторые другие фундаментальные протоколы как были, так и остаются беззащитными и уязвимыми. Противостоять атакам с этих направлений можно только средствами достаточно «продвинутого», а, значит, не дешёвого сетевого оборудования, что может себе позволить далеко не каждая компания или организация.

В CERN’е очень серьёзно относятся к вопросам информационной безопасности, каждый пользователь, прежде чем он получит доступ к сети CERN, должен пройти минимальное обучение и сдать соответствующий экзамен. В связи с этим любопытно будет процитировать правильный ответ на вопрос: «Насколько активно подвергается атакам извне информационная сеть CERN'а?», с вариантами ответа: «изредка», «часто», «постоянно». Правильным будет ответ – «постоянно». Остаётся только гадать, как и какими техническими средствами обеспечивается безопасность «периметра» огромной сети CERN, имеющего суммарную пропускную способность каналов связи с «внешним миром» в сотни гигабит в секунду!

Опять же, как и в случае с вирусами, сегодня становятся возможными успешные атаки с использованием старых идей и технологий, просто из-за многократно возросших возможностей и мощностей, доступных атакующим. Если выставить в виде «приманки»1 в Интернет машину с открытым TCP-портом 22 (SSH) и проанализировать логи подключения к ней, то можно будет увидеть массированные brute force атаки по подбору имени/пароля, ведущиееся быстро и настойчиво. Это действуют botnet-ы – сотни, тысячи, десятки тысяч ботов («заражённых» машин), пытающихсяя взломать вашу систему. И если на этой машине не предприняты дополнительные меры безопасности, например, лимитированный список адресов, с которых разрешено подключение, или блокировка IP-адреса, с которого за ограниченный отрезок времени было выполнено определённое количество неудачных попыток авторизации и т.п. – то «старая» технология подбора пароля «в лоб», реализованная на новой платформе – сети заражённых машин – может оказаться успешной. И, рано или поздно такая машина окажется в результате взломана, даже если пароль на доступ к ней был достаточно длинный и сложный.

Ещё одним примером реализации «старой» идеи на новой платформе могут служить атаки на криптографические протоколы. Их изучают, пытаясь найти уязвимости, как в самих алгоритмах, так и используя всё тот же brute force. Ставшие в последнее время доступные огромные и, одновременно, недорогие вычислительные мощности (технология GPU (Cuda)) позволяют, например, находить коллизии в MD5 за очень короткие времена – часы и даже минуты. Ещё одной модной тенденцией в этой области становится высокая (и, опять же, недорогая) вычислительная мощность, доступная в «облаках». Есть примеры, когда за весьма умеренную плату, на взятом в аренду «облаке» из нескольких десятков тысяч вычислительных ядер, за неделю было вычислено несколько коллизий для гораздо более устойчивого алгоритма SHA1.

Botnet’ы, как пример использования массовых структур, на сегодня являются серьёзнейшей проблемой безопасности в ИТ, в частности они чаще всего бывают источником самых разнообразных DDoS-атак, от которых бывает весьма сложно и непросто защититься. Известны случаи, когда владелец сайта был вынужден неоднократно менять множество провайдеров и хостинг из-за того, что на его сайт велась мощная DDoS-атака, организованная, возможно, его конкурентами. Стоило его сайту сменить площадку и «подняться» с новыми адресами, как распределённая атака на него тут же возобновлялась. Иногда это приводило к тому, что оказывались «съеденными» все магистральные каналы хостера и он обращался к владельцу сайта с просьбой переехать от него куда-нибудь в другое место. Провайдеры помогали «отбить» DDoS, анализируя атаку и тонко настраивая свои firewall-ы и IPS, но атакующие модифицировали свои технологии – и атака на сайт возобновлялась. В итоге несколько компаний вынуждены были полностью уйти из виртуального мира, так и не сумев справиться с проблемой DDoS. Такое невозможно представить, например, для компаний уровня Microsoft, чьи сайты много и часто пытаются «уничтожить» распределёнными атаками, там всё обычно заканчивается нахождением и устранением причины, хотя, конечно, и средствам защиты уделяется соответствующее внимание. Но компании поменьше, не обладающие большими ресурсами, вполне могут оказаться уничтоженными и исчезнут из «Всемирной Паутины», дальше прекратив своё существование в мире реальном.

Новые технологии несут с собой и новые опасности, это, если можно так сказать, закон природы. Нельзя назвать совсем уж новой технологию IPv6, всё-таки она начала разрабатываться довольно давно, два десятилетия назад, но сравнительно массовое её внедрение происходит только в последние два-три года. Все производители основных операционных систем отреагировали на эту тенденцию, на сегодня поддержка IPv6 существует во всех без исключения современных ОС, от серверных, до настольных и мобильных. И это принесло новые проблемы в области безопасности. Например, некоторые производители смартфонов на базе Android установили довольно легкомысленные и чрезмерно мягкие настройки в своей реализации протокола IPv6, в результате чего выяснилось, что подключившись к двум разным сетям – Wi-Fi и 3G – такое устройство, без участия пользователя, становится маршрутизатором, о чём тут же начинает рассылать анонсы в сеть. Средства протокола IPv6, облегчающие автонастройку, очень способствуют тому, что в вашей сети может возникнуть такой вот самопровозглашённый маршрутизатор, трафик через которой проходит в обход защиты вашего «периметра». В этом смысле дешёвый доступ в Интернет через мобильные устройства или USB-модемы обозначил серьёзную проблему контролируемого, точнее, неконтролируемого доступа. Если, в соответствии с политиками компании, администраторы закрыли на корпоративном МСЭ возможность попадать на некоторые сайты (среди которых чаще других встречаются «Одноклассники», «В Контакте», “Facebook”, “Twitter” и т.п.), то конечному пользователю обойти эти ограничения сегодня очень просто – мобильный Интернет к его услугам.

Ещё одна сторона мобильности – когда мобильное устройство пересекает границу корпоративной сети. Сегодня ноутбук работает внутри периметра, завтра человек уезжает с ним в командировку, где подключается к интернету через неизвестные заранее и непонятные с точки зрения безопасности, точки подключения. А послезавтра ноутбук возвращается «домой», подключаясь к корпоративной сети «мимо» МСЭ, охраняющего границу сети, и может привезти с собой из командировки (или после того, как побывал в домашней сети) неизвестное количество вредоносных программ. Которые могут тут же приступить к поиску других жертв, пытаясь их взломать уже изнутри корпоративной сети, без необходимости преодолевать при этом защиту на «периметре».

Осознавая это новое, «мобильное», направление угроз, некоторые производители средств безопасности сегодня предлагают свои решения. В частности, компания Microsoft, в сотрудничестве с некоторыми другими компаниями, в т.ч. Cisco (NAC), предлагает сложную и комплексную систему NAP (Microsoft Network Access Protection). Суть её заключается в том, что при подключении к корпоративной сети ноутбука или другого мобильного устройства, какое-то время отсутствовавшего в ней, это устройство помещается в т.н. «карантин», реализуемый в том числе и средствами переконфигурирования сетевых устройств. Ноутбук оказывается в изолированной сети, «побег» из которой невозможен – в этой подсети есть доступ только к необходимым ресурсам, выход в интернет и корпоративную сеть закрыт. Система изучается на предмет актуальности установленных на ней обновлений, патчей, антивирусных баз, на ней проводится сканирование дисков и т.п. действия. После чего, когда все необходимые процедуры будут проведены, система получит все необходимые обновления, антивирусы, настройки (например, для персонального firewall-а), «карантин» будет снят и машина будет допущена в корпоративную сеть и/или Интернет. Сложно, дорого, не очень оперативно – но, судя по основным сегодняшним тенденциям – практически безальтернативно, в первую очередь, для крупных организаций.

В качестве итога можно резюмировать: в области безопасности информационных систем никогда нельзя останавливаться на достигнутом. Динамика такова, что ещё вчера считавшаяся безопасной триада: «обновления»–«антивирус»–«firewall» для отдельной машины, на сегодня уже не может считаться таковой. Не говоря уже о гораздо более сложных механизмах для сетей корпоративного уровня. Сочетание самых разнообразных средств обеспечения безопасности, с поддержание их в актуальном состоянии (антивирус с антивирусной базой даже недельной давности уже подвергает систему серьёзному риску), с обязательным отслеживанием и использованием новых технологий – вот основные тенденции в сегодняшнем мире безопасности в информационных технологиях.




1 «Большой китайский firewall» – это, в первую очередь, защита внутренней сети Китая от остального Интернета и ограничение доступа китайских машин к нежелательным «внешним» ресурсам. Но этот firewall практически совершенно не мешает китайским хакерам быть одними из самых активных и опасных не только в ChinaNet, но и в «большом» Интернете.

1 Процедура смены пароля, забытого пользователем внутрикорпоративной сети фирмы Microsoft, обязывает группового администратора сделать телефонный звонок забывчивому пользователю только со стационарного телефона. Звонки с мобильных телефонов недопустимы, в виду бо́льшей вероятности прослушки.

2 Как известно, Кевин Митник находил немало полезного – пароли, автобусные билеты и пр. – на обрывках бумаги, выброшенных в мусорные корзины.

3 В этом, конечно, нет ничего удивительного, т.к. термины имеют не русскоязычное происхождение.

4 Имена Элис (Алиса), Боб и Ева в криптографии и компьютерной безопасности являются стандартными обозначениями (метапеременными) для отправителя, получателя и перехватчика сообщений соответственно. Обычно они используются для удобства объяснения работы протоколов передачи данных, вместо буквенной нотации A, B и E. Ева по-английски пишется как Eve, что намекает на слово eavesdropper (подслушивающий).

1 Сущность принципа заключается в том, что чем меньше секретов содержит система, тем выше её безопасность. Так, если утрата любого из секретов приводит к разрушению системы, то система с меньшим числом секретов будет надёжней. Чем больше секретов содержит система, тем более она ненадёжна и потенциально уязвима. Чем меньше секретов в системе — тем выше её прочность (Брюс Шнайер).

2 По утверждению Bruce Schneier, ни один другой блочный шифр не имеет столь простого алгебраического представления.

3 Целые числа называются взаимно простыми, если они не имеют никаких общих делителей, кроме ±1

4 Числа Ферма — числа вида Fn = 22+ 1, где n — неотрицательное целое число.

1 В современных Unix-ах пароли пользователей обычно не хранятся в файле /etc/passwd, вместо них присутствует символ ‘x’, указывающий на то, что реальные пароли находятся в файле /etc/shadow. Символ ‘*’ в поле пароля означает отключённую учётную запись.

2 К ОС семейства Windows NT в данном курсе лекций относятся все версии Windows, начиная с «основоположника» семейства Windows NT до новейших Windows 8 и Windows Server 2012.

3 Название и содержимое встроенных локальных групп может различаться в различных версиях Windows.

4 Говорят, что исходно невозможность сброса атрибута X была ошибкой. Не очень понятно, почему она так и не была исправлена даже в самых последних версиях Netware.

5 Необратимо с точки зрения штатных средств операционной системы.

6 Поведение права Supervisor в файловой системе также объясняют… ошибкой. Но, в отличие от eXecute, ошибкой полезной, которую сохранили сознательно. Следует отметить, что бит Supervisor в каталоге eDir может быть успешно зафильтрован с помощью IRF.

1 Строго говоря, доменная структура не была изобретением Microsoft. Раньше была IBM со своим LAN Server для ОС OS/2, который IBM, в свою очередь, тоже не разрабатывала с нуля (н-р, интерфейс NetBIOS был разработан Sytec Inc. (Hughes LAN Systems) для IBM в 1983 году).

2 Напоминание: DES блочный шифр, размер блока – 64 бита, ключ – 56 бит.

3 Смотрим на клавиатуру. Возможно, это был чей-то пароль.

4 «Классический» DNS, например, не разрешал использовать в именах символ подчёркивания ‘_’. Microsoft, введя поддержку этого символа в DNS, очень активно использует его в именовании сервисов.

5 Кроме групп безопасности (security group) в AD также существуют группы типа распространения (distribution group). Distribution group не может быть принципалом безопасности.

6 Когда Microsoft работала над своей первой версией Windows 2000 с поддержкой службы каталога (AD), Novell предлагала ей совместную разработку – ОС от Microsoft, каталог – от Novell. Но разработчики из Редмонда пошли своим путём, создав AD.

1 Как утверждают представители Microsoft, для Windows машин, работающих в Active Directory, возможен (но не обязателен) вывод предупреждающего сообщения на экран пользователя, сообщающий ему, что его сессия «вскрыта» и инспектируется. Для машин, не работающих с AD или для машин с другими ОС, такие сообщения вывести невозможно. С другой стороны, и незаметно подменить/внедрить сертификат для этих машин также невозможно.

2 Применительно к упомянутым протоколам правильнее было бы говорить не о большей по сравнению с ними конфиденциальности – эти устаревшие протоколы вообще не обеспечивали конфиденциальности передаваемых данных.

3 В реальной жизни fingerprint системы, при первом подключении к ней, проверяет и контролирует очень малое количество пользователей.

4 Стандартные механизмы для Unix систем.

5 Если сегодня просмотреть логи любого SSH-сервера или honeypot, «выставленных» в Интернет, то в них можно увидеть, как буквально «залпами», со многих адресов, ведутся массированные попытки взлома, с перебором распространённых имён и паролей.

6 Для IPv6 поддержка IPSec включена в спецификацию v6 и является обязательной. В IPv4 IPSec – опциональный протокол.

7 Из статьи IETF 2004 года: после определения дополнительных механизмов инкапсуляции ESP (но не AH) в UDP, стало возможным пересылать трафик IPSec через NAT, используя специальные NAT traversal (NAT-T).

8 Компания Microsoft в своей имплементации IPSec реализовала возможность безопасного создания SA с использованием протокола Kerberos. Но эта технология возможна только для систем, работающих в одном «лесе» AD.

1 Клиент Windows при первоначальном получении IP-адреса поступает очень просто – он выбирает DHCP-сервер, первым ответившим ему с DHCPOFFER.

2 Рандомизация номеров исходящих портов на сегодня реализована во всех без исключения реализациях DNS-серверов всех основных производителей. Но это привело к возможности DoS атаки на DNS-сервер: даже если на сервере нет никаких других UDP-служб, атакующий может просто обрушить на DNS большое количество легальных запросов, опустошая пул доступных портов, что в конечном счёте и может привести к DoS.

3 В реальной атаке Каминский действовал несколько другим способом, подробности технологии есть в его презентации. Главное то, что из-за наложения некоторых дополнительных факторов 16-битная длина поля идентификатора TXID оказалась совершенно недостаточной и многие DNS-сервера оказались подвержены атаке по подбору TXID, которая раньше рассматривалась как неосуществимая.

4 См. ссылку по поводу рандомизации UDP-портов на предыдущей странице. Атаку на кеш рандомизация портов действительно затрудняет, но приводит к возможности DoS-атаки на DNS-сервер.

1 В Интернете можно наткнуться на отчаянные споры – является ли МСЭ маршрутизатором или нет. Поддержка указанных протоколов в ASA даёт однозначный ответ на этот вопрос.

2 Предшественником Forefront TMG можно назвать продукты под названием ISA. Их было выпущено несколько версий, пронумерованных по годам: 2004, 2007 и др. Но только в TMG Microsoft удалось достичь очень неплохого сочетания возможностей МСЭ и удобства его управления.

3 Comodo Firewall входит в состав Comodo Internet Security. Существует множество систем безопасности от других производителей, название которых образовано сходным образом: Kaspersky Internet Security, Norton Internet Security и др.

1 Response возвращает связанные переменные и значения от агента менеджеру для GetRequest, SetRequest, GetNextRequest, GetBulkRequest и InformRequest. Уведомления об ошибках обеспечиваются полями статуса ошибки и индекса ошибки.

2 При разработке SNMP второй версии была предпринята попытка изменить модель безопасности в протоколе. Но, из-за возникших проблем с совместимостью и излишней сложности модели в версии v2, была выпущена версия SNMPv2c, имеющая одинаковую с v1 схему аутентификации. Естественно, с теми же проблемами в безопасности.

3 Очень часто поддержка SNMP-агента реализуется в устройстве на отдельном встроенном «компьютере», предназначенном исключительно для мониторинга и управления. Такой подход объясняет заметно более высокую итоговую цену устройств. Например, управляемые коммутаторы – при схожих базовых характеристиках – сто́ят примерно в 2-2.5 раза дороже неуправляемых.

1 Протокол WEP, несмотря на принципиальные и фундаментальные проблемы с безопасностью, всё же как-то развивался, в основном за счёт увеличения длины ключа до 256 бит. Хотя такие реализации были поддержаны далеко не всеми производители.

2 В ad-hoc сетях довольно часто единственным поддерживаемым протоколом безопасности является WEP. То же самое относится к режиму беспроводного моста «AP-AP» от многих производителей – часто оказывается, что он тоже работает только с WEP.

3 WPA2 определяется стандартом IEEE 802.11i, хотя до момента окончательного принятия стандарта существовали некоторые различия между ними. Сейчас можно считать, что WPA2==802.11i.

4 WPS включён по умолчанию в устройствах очень многих производителей, что делает эту уязвимость достаточно актуальной.

1 По такому же принципу общей разделяемой среды передачи работают беспроводные сети Wi-Fi. Полоса пропускания делится между всеми абонентами.

2 Транк – линк, передающий тегированные фреймы – терминология Cisco.

3 Современные модели некоторых продвинутых коммутаторов умеют выполнять двойную инкапсуляцию (QinQ).

4 Интересно, что некоторые другие производители, например, Allied Telesis, наоборот настоятельно рекомендуют использование VLAN 1, руководствуясь при этом именно соображениями безопасности.

5 Огромное количество сетевых администраторов зачастую даже не подозревает о самом существовании протокола STP. Его настройки по умолчанию позволяют получить функционирующую сеть по принципу «включи и работай», но с точки зрения безопасности STP требует обязательной настройки «по месту», под конкретную топологию.

1 RSA Survey: http://news.bbc.co.uk/1/hi/technology/3639679.stm

1 По этой причине вредоносной программой был признан rootkit фирмы Sony: эта программа автоматически устанавливалась при проигрывании DVD-диска с фильмом, а затем без предупреждения запускалась и собирала информацию о лицензионности других DVD с фильмами.

2 Zero-day эксплойт — это киберугроза, использующая ошибку или уязвимость в приложении или операционной системе и появившаяся сразу после обнаружения данной уязвимости, пока разработчики ПО еще не успели создать патч, а IT-администраторы — принять другие меры безопасности.

3 По этой причине в публичной сети ЦЕРН’а запрещено использовать IRC.

4 Rootkit от Sony скрывал файлы, каталоги, процессы, ветки в реестре, имена которых начинались с сочетания символов $sys$, используя при этом технологии драйвера уровня ядра.

1 Honeypot («ловушка») (горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников




Достарыңызбен бөлісу:
1   ...   36   37   38   39   40   41   42   43   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет