Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"
Автор книги: Линда Маккарти
сообщить о нарушении
Текущая страница: 1 (всего у книги 22 страниц)
Линда Маккарти
IT-безопасность: стоит ли рисковать корпорацией?
Предисловие
Поймите сразу – эта книга не похожа на большинство других купленных вами книг по вопросам безопасности. В ней вы не найдете мрачных подробностей о слабых местах в серверах и списки IP-портов, используемых для проникновения в них. Нет в ней также и листингов исходных кодов вирусных программ с комментариями. Автор не включил в книгу каталог скриптов для взлома и лист подписки на веб-сайты, откуда вы могли бы их «скачать». Здесь нет трагических (и повторяющихся) рассказов от первого лица о том, как легко одурачить людей, раскрывая их пароли. Так что если вы надеетесь, что все это есть в книге, то лучше отложить ее в сторону.
Но… я предупреждаю вас, что вы отказываетесь от книги, в которой обсуждаются реальные проблемы реальной безопасности и даются основательные и запоминающиеся уроки – некоторые из них я настоятельно рекомендую усвоить любому, кто работает с компьютерами.
Только подумайте – примерно в течение года после отправки этой книги в печать объем электронной коммерции в Интернете перевалил отметку в один триллион долларов в год. Коммерческого использования сетей практически не было до 1993 года, поэтому такие темпы роста являются невероятными. Но даже глядя на эти цифры, мы все равно не сможем себе представить, что это только начало, – ведь «подключена» сейчас только частичка населения планеты, и только частичка делового мира начала принимать участие в онлайновой коммерции по схеме «бизнес-бизнес».[1]1
В2В, или B-to-B, – схема электронной коммерции, при которой предприятия и организации предоставляют товары и оказывают услуги друг другу. – Примеч. пер.
[Закрыть]
Многие слышали о законе (Гордона) Мура, впервые сформулированном в 1965 году и предсказывавшем, что производительность процессоров будет удваиваться каждые 18 месяцев. Действительность подтвердила это предположение, и ожидается, что оно будет продолжать действовать, по меньшей мере, еще одно десятилетие. Подобный рост наблюдался и в использовании вторичной памяти, вследствие чего емкость онлайновых систем за последние несколько лет удваивалась приблизительно каждые 14 месяцев. Также был виден впечатляющий рост пропускной способности линий связи, вызванный непрерывным распространением оптоволоконных беспроводных технологий. Стоимость всех этих товаров широкого потребления (а они действительно таковыми стали) упала после того, как увеличился их общий объем.
Являясь как причиной, так и следствием роста инфраструктуры информационных технологий, критически важная информация размещается в сетях во все возрастающих объемах. Банки, брокерские фирмы, аудиторские и финансовые компании всех видов применяют для ведения своего бизнеса компьютеры и сети. Федеральное правительство и администрация штатов не могут работать без компьютеров. Критически важные инфраструктуры, включая энергетику и транспорт, зависят от датчиков и исполнительных механизмов, подключенных по сетевой схеме. Правоохранительные органы и вооруженные силы опираются на информационные технологии при хранении своей информации и технической поддержке выполнения своих задач. Документация учреждений здравоохранения, медицинская справочная система, системы врачебной диагностики все больше обрастают компьютерами. В онлайновую среду помещается также интеллектуальная собственность, которая приводит в движение огромные пласты нашей коммерции. Проекты чипов, новые программы, лекарственные формулы, сведения о разработке нефтяных месторождений, музыкальные и литературные произведения, кинофильмы и прочее – все это может быть украдено, изменено и уничтожено. Бесспорно, каждый коммерческий сектор имеет свой жизненно важный компонент в киберпространстве (или вскоре будет иметь).
Теперь вспомним изречение, приписываемое знаменитому грабителю банков Вилли Саттону. Когда его спросили, зачем он грабит банки, он искренне ответил: «Потому что в них есть деньги». Как вы думаете, на что будут нацеливаться знаменитые преступники будущего? Террористы? Радикальные активисты, вандалы и анархисты? Смело посмотрим в лицо действительности – самым привлекательным объектом всех видов атак станут информационные технологии. И это будущее уже наступило. Годовые потери от вирусов, взломов и онлайновых фальсификаций уже оцениваются во многие десятки миллионов долларов.
Широкое распространение такие потери получили вследствие хронической нехватки нужной информации, средств защиты и подготовленного персонала, которая усиливается плохим знанием законов рынка массовой продукции. Типичные онлайновые системы создаются на базе программного обеспечения, не предполагающего наличия средств защиты и ориентированного на совместимость со старым, еще менее безопасным программным обеспечением. Такие программы писались людьми, не имеющими представлений о защите, их тестирование сводилось к минимуму, и это программное обеспечение выпускалось к установленным срокам начала его продажи, невзирая на остающиеся в нем ошибки. Эти же самые системы затем покупались людьми, не имеющими знаний в области безопасности, устанавливались как расширение незащищенной программной базы и использовались в режиме обхода средств защиты, так как они мешали онлайновой деятельности. Слишком часто руководители полагались на услуги и программы, написанные доморощенными специалистами, чей опыт основывался на «скачивании» и запуске подготовленных другими инструментов взлома. Поэтому неудивительно, что происходит так много компьютерных инцидентов. Удивительно другое – почему их так мало!
Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и закрытой областью вычислительной техники, сравниваемой с такими новинками, как компьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то время было лишь несколько книг по информационной безопасности (не считая книг по криптографии), доступных широкому кругу компьютерных пользователей. Идея безопасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с какими-либо реальными угрозами в сфере информационных технологи!!. Интернет и компьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь некоторые книги заслуживают внимания, остальные же содержат переработку более глубоких исследований, простое перечисление уязвимых мест (которое становится непригодным через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на прохудившуюся инфраструктуру.
На этом фоне выделяются немногие эксперты, действительно понимающие «общую картину» информационной безопасности. Линда Маккарти является одним из таких экспертов, и внимательное чтение данной книги покажет вам, почему ее первое издание находится на полках большинства преподавателей и практиков. Вместо того чтобы давать готовые решения для временных «заплат», Линда использует свой опыт аудитора безопасности, консультанта, менеджера, разработчика, преподавателя и руководителя для определения и демонстрации скрытых структур и взаимоотношений, которые являются движущими силами планирования и осуществления мер безопасности. Она знает, что компьютерная безопасность зависит главным образом не от самих компьютеров, а от людей, которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать экономическую, психологическую, правовую и деловую стороны практики применения компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголовок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает главное в обеспечении безопасности; роль высших руководителей корпораций, С такого высокого уровня обеспечение информационной безопасности видится как нечто большее, чем борьба «системного администратора с хакером» – оно становится функцией по поддержанию живучести всего предприятия. Как показывает текст книги, выполнение обязанностей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы, и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.
По мере того как мы продвигаемся по веку информации, в котором защита информации становится все более важной, мы должны понять, почему в этих обоих терминах применяется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем наши знания о защите наших информационных ресурсов независимо от их местонахождения.
Главное место в нашем мышлении должны занимать не конкретный компьютер или версия операционной системы, а структуры, образующие основу для их функционирования, – социальная, экономическая и правовая. Нам всем нужно понять, что информационная безопасность не представляла бы проблемы, если бы она не была ради людей, а технологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопасностью. Технологии, несомненно, важны, но они не единственный и даже не самый главный компонент. Линда познавала эти главные истины годами и использовала их в своей карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрасно обобщенного и иллюстрированного в последующих главах.
Первое издание этой книги не являлось единственным источником для моих рассуждении о глубинах информационной безопасности. И все же его я часто рекомендовал студентам и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются вебсайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне изменит ваше представление о безопасности». Если вы ищете одну из таких книг по безопасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу в сторону… по крайней мере, пока ее не прочитаете.
Юджин X. Спаффорд.
Декабрь 2002 года
Благодарности
Я выражаю особую признательность моему редактору Денизе Уэлдон-Сиви. Мне никогда бы не удалось закончить книгу без нее. Ее идеи, вдохновение и энтузиазм придали особую окраску этой книге. Рэндалл Миллен воодушевил меня на написание первой страницы и оказывал мне постоянную поддержку.
Я также глубоко благодарна моему издателю и его персоналу, включая Рэйчел Борден из Sun Microsystems Press, Джона Бортнера из SunSoft marketing и редактора Грега Дунча из Prentice Hall. Я благодарю их за поддержку и работу по координации деталей, оставшихся за сценой.
Дэн Дж. Лэнджин написал раздел «Юридические обязанности по защите информации и сетей» для 11-й главы.
Конечно, я должна также поблагодарить моего прежнего работодателя Sun Microsystems. Особую благодарность я испытываю к техническому директору Sun Эрику Шмидту, за создание обстановки, в которой поощрялись творчество и тяга к знаниям. Среди его сотрудников я особо хочу поблагодарить Хамфри Поланена.
Многие из экспертов по компьютерной безопасности отдавали мне свое время и делились ценной информацией, чтобы научить меня хитростям своей профессии. Мне бы хотелось сказать спасибо Мэтью Арчибальду, Касперу Дику, Дэну Фармеру, Алеку Маффетту, Брэду Пауэллу и Маркусу Рануму.
Специалисты из других областей также нашли для меня время в своей занятой жизни, чтобы сделать общие замечания, предложения и оказать поддержку. Этими щедрыми людьми, в алфавитном порядке, являются: Диана Браунинг, доктор Том Хафкеншил, Сьюзен Ларсен, Джон Маккарти, Тим Мерфи, Мишель Парри, Ричард Пауэр, Боб Шотвелл, Стив Смаха, Джин Спаффорд, Кейт Уотсон и Дебора Ярборо.
Наконец, я хочу выразить признательность всем моим друзьям и семье за неиссякаемые вдохновение и поддержку.
Спасибо!
Об авторе
Линда Энн Маккарти является признанным авторитетом в области технологий безопасности, а также писателем и «глашатаем» данной отрасли. Кроме того, Маккарти – руководитель службы консультантов по вопросам безопасности отдела технического директора в Symantec Corporation. Совсем недавно Маккарти занимала пост вице-президента по системным разработкам в Recourse Technologies, компании по разработке программ для обнаружения, поимки и отслеживания хакеров.
До этого Маккарти была старшим вице-президентом в NETSEC, компании, предоставляющей услуги по управляемому обнаружению вторжения и реагированию на него. Еще раньше она работала менеджером по исследованиям и разработкам в области безопасности в Sun Microsystems и была основателем Network Defense Fund.
По просьбе руководителей компаний Маккарти взламывала системы в их корпоративных сетях и показывала, как легко можно получить доступ к секретам компании, обрушить промышленные системы и даже вызвать катастрофу в их глобальных операциях. Вместо этого она направляла свои знания на обучение менеджеров тому, как избегать подобных бедствий.
Линда вела несколько учебных курсов в Sun Microsystems по архитектуре аппаратных средств, системному администрированию и безопасности UNIX.
Введение
Век массового подключения очень агрессивен. Поток свободно перемещающейся во всех направлениях информации и электронная коммерция, вышибающая все новые двери, больше не позволяют нам обходиться в сетевой защите одним только хорошим брандмауэром при подключении к Интернету.
Я затратила много времени, проводя аудиты безопасности распределенных сетей. Во многих случаях я обнаруживала, что информация могла быть легко изменена, украдена или уничтожена и при этом не оставалось бы следов произошедшего инцидента. Системные администраторы и другие «полномочные представители» знали, что настройка защиты их систем не была проведена. Но они не знали, каким высоким оставался при этом уровень риска. Также не знали об этих рисках и руководители компаний.
Эта книга научит вас, как избежать их ошибок. Если вы являетесь руководителем высшего уровня, менеджером, системным администратором или любым другим сотрудником, отвечающим за безопасность сети, то вы должны занять активную позицию в этом вопросе.
Не делайте тех же ошибок, что и эти люди. Это может вам стоить вашей компании.
Об этой книге
То, что вы собираетесь прочитать, не является плодом моего воображения. Здесь собраны описания реальных аудитов. Каждая глава посвящена отдельному аудиту, который я проводила в реальной, живой, функционирующей компании. Если бы я использовала действительные названия компаний, то вы, вероятно, узнали бы среди них своих партнеров по бизнесу.
Конечно, я не использовала действительных названий компаний, имен сотрудников или других участников событий по очевидным юридическим и этическим причинам. Но я привела здесь реальные факты, касающиеся риска и моего подхода к аудиту в каждом конкретном случае.
Читайте внимательно, особенно если вы являетесь руководителем верхнего уровня, линейным менеджером, системным администратором, юристом или профессиональным представителем правоохранительных органов. Описываемые риски являются рисками, которые вы должны себе представлять.
В любом случае реальные риски кроются не только внутри операционных систем. Серьезные риски скрываются в способах установки систем, проведения настройки, технической поддержки и управления. Именно эти факторы главным образом определяют риск для вашей компании.
Указывая на эти риски, я надеюсь, что люди, отвечающие за информацию в сетях, начнут занимать активную и вдумчивую позицию в обеспечении безопасности.
Как устроена эта книга
Хотя все описываемые аудиты являются реальными, я начинаю каждую главу с выдуманной истории, рассказанной от первого лица. Работая в различных компаниях, я начала понимать, что большинство людей станут воспринимать безопасность серьезно только тогда, когда что-либо произойдет с их системами, их информацией и их компанией, – это одна из причин, по которой детское «Я» остается в людях на всю жизнь. Я ввожу читателя в каждую из этих историй для передачи ощущения того, что это может случиться с вашей информацией и с вашей компанией.
В следующем разделе каждой главы описываются действительные риски для безопасности, которые я обнаружила при проведении аудита. В этом разделе также объясняется происхождение этих рисков. Это ведь не происходит так, что не успели вы проснуться утром, как узнали, что защита вашей сети в самовольной отлучке. Бреши в защите обычно образуются по недосмотру или из-за плохого планирования в течение длительного времени. В этом разделе объясняется, каким образом можно дойти до такого состояния.
В последнем разделе каждой главы «Мы пойдем другой дорогой…» вам будет, главным образом, рассказано о том, как избежать подобных проблем. Я надеюсь, что вы прочитаете эти разделы внимательно и близко к сердцу воспримете мои рекомендации.
О хакерах
На протяжении всей книги я использую термин «хакер», чтобы обозначить того, кто получает неавторизованный доступ к системам и информации. Некоторые специалисты используют для этого термин «кракер» (cracker), замечая при этом, что некоторым программистам нравится называть себя «хакерами», в то время как они являются в действительности составителями программ высшей квалификации и не склонны к преступной деятельности. Я все же решила использовать термин «хакер», так как он более распространен за пределами круга экспертов по безопасности, и любому выбравшему эту книгу он будет понятен.
Я присвоила «хакеру» мужской пол, и, хотя им может быть и женщина, я не хотела надоедать, часто употребляя оборот «он или она».
Наконец, эта книга о хакерах, но не для них. Если вы являетесь начинающим хакером (wanna-be), то вам не удастся в этой книге научиться взлому систем. Вам лучше поставить книгу обратно на полку.
Глава 1
Отражение атак
Обнаружение, изоляция и устранение инцидентов во многом напоминают обезвреживание взрывных устройств – чем быстрее и лучше вы это проделаете, тем меньший урон нанесет инцидент, связанный с безопасностью системы.
Джин Шульц, главный инженер
Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо обучена, а политики и процедуры поддержания безопасности отражены в инструкциях. Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию), вы забыли внести в них процедуру реагирования на инциденты. И пока вы поздравляли себя с отлично проделанной работой, хакер проник в самое чувствительное место системы.
Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компании ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскалация ответных усилий особенно важна, если масштабы вторжения выходят за рамки знаний, которые есть у группы обеспечения.
После обнаружения вторжения каждый ваш шаг будет означать движение либо к сохранению, либо к утрате секретов вашей компании. Представьте себе, что случится, если вся важная информация в вашей компьютерной системе будет похищена или уничтожена. Это невозможно? Так утверждают все, пока их система не подверглась взлому!
Всегда помните о важности хранящейся в вашей системе информации! Будьте готовы ее защитить! Убедитесь в том, что каждый (сверху донизу) сотрудник вашей компании знает, что делать при взломе для защиты информации от похищения, модификации или уничтожения.
Рассмотрим пример…
Кошмар реагирования на инцидент[2]2
Инцидент– в данной книге: ситуация в системе, связанная с несанкционированным вторжением (атакой, взломом). – Примеч. пер.
[Закрыть]
Дэйв Армстронг являлся системным администратором корпоративной сети банка First Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что какой-то хакер полностью контролирует все 200 с лишним систем[3]3
Системами в данном случае называются серверы и рабочие станции в сети банка. – Примеч. науч. ред.
[Закрыть] банка и «бродит» по ним, собирая пароли и тщательно просматривая данные.
К несчастью, Дэйв ничего не предпринял и просто стал наблюдать за хакером с целью выяснить, кто же среди ночи влез в систему. Хотя в First Fidelity имелись инструкции с политиками и процедурами безопасности для многих ситуаций, по каких-либо формальных указаний на случай подобного инцидента в них не было. Поэтому, не имея конкретных предписаний, Дэйв потратил целых три дня, безуспешно пытаясь установить личность хакера, и только потом призвал на помощь группу обеспечения безопасности банка.
Теперь представим себе на мгновение, что хакер бесконтрольно «бродит» по сети вашего банка в течение трех дней, собирает имена и номера счетов и, возможно, изменяет информацию, переводя денежные средства или уничтожая записи. Уже думаете о том, как нам сменить банк? Я – тоже!
Как возникают подобные ситуации? В данном случае Дэйв установил конфигурацию программного сервера таким образом, чтобы ему доверяли все остальные системы. Доверие здесь означает то, что все системы сети предоставили программному серверу удаленный привилегированный доступ (remote root access) без требования пароля при входе (конфигурация по типу «доверяемая сеть» – web-of-trust). Несколько сотен систем доверяли программному серверу.
Хотя такая конфигурация облегчает установку в системах нового программного обеспечении, имеете с тем она подвержена риску, особенно в случае, когда о риске и уязвимости, связанных с поддержкой доверительных отношений, не думают в первую очередь. Если конфигурация системы должна включать доверяемый сервер (и других вариантов нет), то такой доверяемый сервер обязательно должен быть защищенным. Иначе любой хакер, проникший в такой доверяемый сервер, получает прямой привилегированный доступ (ведь пароль не требуется) к каждой системе, имеющей доверительные отношения с сервером.
Это как раз и произошло в корпоративной сети банка First Fidelity. Сотни систем этой сети поверили программному серверу. В результате сервер стал привлекательным для хакера, искавшего вход в сеть компьютеров банка. Дэйву не приходило в голову, что его система подвержена риску и не способна противостоять атаке. Ни он, ни его управляющий не знали случая, когда единственная незащищенная система может открыть дверь к остальной сети. Доверяемая сеть банка First Fidelity проникала далеко в глубины его интранета (более 200 систем). При наличии сотен систем, доверяющих программному серверу, сервер следует защищать надлежащими мерами безопасности. Но сервер сети банка тем не менее не обладал достаточной степенью защиты. Он был широко открыт и ждал, когда в него зайдет хакер.
Так и случилось. Когда хакер получил полный доступ к доверяемому серверу, то ему был предоставлен удаленный привилегированный доступ ко всем системам сети. Нельзя сказать, что это удалось ему с большим трудом.
Давайте рассмотрим подробнее этот случай вторжения и то, что последовало за ним в последующие дни.