Краеугольный камень информационной безопасности.

Рынок средств информационной безопасности развивается сегодня огромными темпами. За прошедший год, по данным РоссБизнессКонсалтинг, только в России прирост составил 45%. Прогнозы на следующий год еще более оптимистичны. Наиболее популярными продуктами сегодня являются системы защиты от несанкционированного доступа, межсетевые экраны, VPN-решения и антивирусы российского производства. В корпоративном секторе более востребованы системы обнаружения и предотвращения вторжений, сканеры безопасности, межсетевые экраны, VPN-решения.

Взглянем на одни из самых последних разработок в области защиты информации.

20 мая 2005 г. - Check Point представила платформу NGX для обеспечения защиты периметра сети, внутренней защиты и веб-защиты предприятий

 3 мая 2005 г. - Cisco Systems объявила о выпуске Cisco Adaptive Security Appliance (ASA) 5500 Series, инновационного семейства многофункциональных аппаратно-программных устройств защиты сетевой инфраструктуры.

27 апреля 2005 г. - Symantec представила решение, предназначенное  для усиления защиты от сетевых угроз и рисков информационной безопасности - Symantec Client Security 3.0

11 апреля 2005 г. - Компания Trend Micro объявила о выходе Trend Micro OfficeScan 7.0 — новой версии программного решения для защиты серверов и клиентов с усиленным anti-spyware функционалом.

29 марта  2005 г. - Internet Security Systems (ISS) объявила о выходе многофункционального программного решения Proventia Desktop для обеспечения всесторонней защиты рабочих станций.

Это лишь небольшая подборка, но и она способна впечатлить. Кажется, что охвачены все возможные области, где только может возникнуть несанкционированная активность. Разработчики стараются создавать интегрированные решения с широкими набором возможностей, и такая политика, безусловно, имеет свои сильные стороны.

Остановимся на том, о чем архитекторы систем информационной безопасности рассуждают традиционно скупо – большом количестве уязвимостей в информационных системах. В силу непредсказуемости и стихийности этого фактора сегодня не существует решений, способных успешно противостоять этой опасности. Существуют лишь временные, или неполные меры.

В качестве введения в проблему, обратимся к классической модели управления рисками.

Замкнутый цикл управления рисками включает в себя идентификацию потенциальных рисков, угроз, и уязвимостей информационной системы.

Если ситуация с рисками и угрозами, в основном, ясна - оценить информационные активы и последствия их компрометации в категориях C-I-A специалисту по силам, то ситуация с уязвимостями складывается весьма сложная. Уязвимость определяют как “недостаток” информационной системы, который делает возможной реализацию угрозы, например, раскрытия конфиденциальной информации. Для того, чтобы идентифицировать все уязвимости информационной системы, их необходимо “знать в лицо”. Постоянные посетители портала Security Focus скажут, что знать обо всех уязвимостях невозможно, поскольку количество брешей безопасности уже не поддается исчислению. Постараемся все же привести более точные данные. По состоянию на 1 июня 2005 года, система оповещения Symantec DeepSight Alert Services, созданная на базе проекта SecurityFocus, располагает сведениями о 12200 уязвимостях. При этом выборку можно строить лишь с 1 января 2000 года.

Большинство уязвимостей, к счастью, устранимы. Важно знать об их наличии в защищаемой системе. Для решения этой задачи в  конце прошлого десятилетия было запущено сразу несколько проектов по созданию централизованных баз данных, содержащих описания  и классификацию известных уязвимостей. Самым известным на сегодняшний день является проект Common Vulnerabilities & Exposures (CVE) корпорации Mitre, решающий, в основном, задачи стандартизации. Задача проекта – уникальная идентификация известных и изученных уязвимостей во избежание их дублирования у различных вендоров. Отметим, что это открытый некоммерческий проект, предоставляющий информацию всем желающим. Некоторые компаний разработали закрытые базы данных. В конечном итоге это позволило им выйти на рынок с коммерческой услугой раннего оповещения, позволяющей в кратчайшие сроки получать достоверную информацию о новых опасностях. Одним из ветеранов в этой области является исследовательский проект X-Force компании Internet Security Systems (ISS).

Сегодня мы наблюдаем дальнейшее развитие информационных сервисов, использующих базы уязвимостей. Наглядный тому пример сайт датской компании Secunia, предоставляющий удобную web-навигацию по своей информационной базе. Другой, уже упоминавшийся пример - популярный портал Security Focus. Некоторое время назад он был куплен корпорацией Symantec с целью создания на его основе коммерческой системы раннего оповещения. Symantec DeepSight Alert Services на сегодняшний день является наиболее профессиональным сервисом подобного рода.

Среди других организаций, занимающихся обнаружением и публикацией информации об уязвимостях – агентство US-CERT, институт SANS, компания iDefence, портал SecurityTracker и ряд других американских организаций.

Итак, информации об известных уязвимостях, казалось бы, предостаточно. В чем же проблема?

Давайте рассмотрим практический аспект применения имеющихся знаний. Представим себе обычную корпоративную сеть средних размеров с типичным набором сервисов. Предположим, что имеется несколько десятков рабочих станций под управлением Windows, пять серверов под Linux, и маршрутизатор Cisco.

В соответствии с классической моделью информационной безопасности попробуем идентифицировать уязвимости, присутствующие в инфраструктуре. Для этого необходимо обратить внимание на все программные и аппаратные средства, которые могут являтся точкой проникновения.

Что из попадающего под этот критерий мы можем перечислить? В голову сразу приходят операционные системы Windows и Linux/BSD, Интернет браузеры, почтовые клиенты, почтовый сервер, SQL сервер, прокси-сервер Squid, DNS сервер – все, что так или иначе взаимодействует с внешней информационной средой. Посмотрим как обстоят дела с безопасностью в этом списке.

С продуктами Microsoft все предельно ясно. Здесь совершенно не обойтись без системы централизованного обновления, реализованной с помощью SUS сервера. С его помощью осуществляется управление обновлениями для операционных систем и интернет браузеров – самых уязвимых по статистике компонентов инфраструктуры. Появившийся в нынешнем году WSUS еще больше расширяет спектр обновляемого ПО, поддерживая также приложения Office и почтовый сервер Exchange. Без централизованного обновления поддержание актуального уровня защищенности сетей на базе Windows видится трудно реализуемой задачей.

Перейдем к UNIX платформе. Чтобы быть в курсе новых уязвимостей, достаточно подписаться на почтовую рассылку разработчиков используемого дистрибутива и регулярно знакомится с публикуемыми бюллетенями безопасности. Конечно есть и альтернативы. Современные дистрибутивы Linux твердой поступью идут по следам Windows и взращивают достойный аналог системы Windows Update, что существенно упрощает задачу отслеживания и установки необходимых обновлений. Многие администраторы не доверяют выполнение процедур обновления автоматизированным средствам. На “боевых” серверах это действительно видится разумным. В этом случае вся нагрузка по слежению за обновлениями ложится на плечи персонала. Плюсы и минусы здесь известны.

Рассмотрим публичные сервисы корпоративной сети. Почтовый сервер, если это, к примеру, Postfix, вряд ли вызовет нарекания, если он обновлялся хотя бы раз в течение этого года. В этом случае в нем уже исправлена уязвимость, открывающая широкое поле деятельности для спамеров.

С SQL сервером, каким бы он ни был, ситуация сложнее. Сегодня известно множество методик проведения инъекционных атак, пусть даже не представляющих серьезной опасности для системы, но, тем не менее, грозящих потерей конфиденциальности информации, хранящейся в базе данных. Учитывая, что ни одна система IDS не в состоянии обнаружить большую часть таких атак, все, на что можно рассчитывать - это результаты регулярной проверки системы сканерами безопасности, имеющими механизмы поиска “слепых” инъекций, а также оперативное обновление системы по мере выпуска свежих “заплат”.

            С DNS сервером, кажется, особых проблем не предвидится. В случае попыток организации сетевого шторма маршрутизатор от Cisco должен подстраховать. Этот тип атак хорошо изучен и эффективно блокируется.

            Прокси-сервер, в роли которого чаще всего выступает Squid, также не представляет серьезной опасности. В силу его высокой популярности и распространенности, он приковывает к себе достаточное внимание. Все обнаруживаемые уязвимости освещаются широко и в полном объеме, а необходимые обновления выпускаются оперативно.

            Что ж, корпоративная сеть кажется довольно защищенной. По крайней мере, атак, позволяющих взломщику, например, получить системные привилегии на каком-либо компьютере сети, явно не просматривается.

Однако, они есть.

            Оставим в стороне уже упомянутое нами программное обеспечение, предположив, что поддерживается актуальный уровень его безопасности, и обратим внимание на, казалось бы, совсем неожиданные объекты.

            Большое число российских компаний использует Антивирус Касперского для защиты от вирусов. Не секрет, что 5-ая версия программы получилась очень удачной, и обрела высокую популярность. Если в нашей опытной сети используется Антивирус Касперского v.5.x на компьютере под управлением Windows 2000, существует возможность организации удаленной атаки, приводящей к выполнению произвольного кода (некоторой “полезной” нагрузки, содержащейся в проверяемом файле) с системными привилегиями.  При этом практически не важно какие дополнительные механизмы защиты используются - важно лишь, чтобы антивирус проверил такой файл. Для всех интересующихся на сайте портала SecurityFocus опубликован эксплоит, демонстрирующий технику такой атаки. Познакомиться с ним можно по адресу:

http://www.securityfocus.com/data/vulnerabilities/exploits/KAV_exploit.zip

Рассмотрим другой распространенный пример.

         Подавляющее большинство пользователей использует проигрыватель Winamp для воспроизведения музыки в формате mp3. На компьютерах рассматриваемой сети наверняка установлены свежие версии программы. Если в проигрывателе открыть список воспроизведения m3u, сформированный неизвестным лицом, безопасность системы ставится под угрозу. Уязвимость при обработке m3u файлов в версиях 5.x может быть использована для выполнения кода с правами запустившего проигрыватель пользователя. Между тем, подавляющее большинство пользователей все еще работает в Windows с правами администратора.  

Пример эксплоита доступен для ознакомления по адресу:

http://www.securitylab.ru/49715.html

         На большинстве рабочих станций рассматриваемой локальной сети используется Acrobat Reader с помощью которого просматриваются документы в формате PDF - наиболее распространенным форматом электронных документов в сети. Проверить их благополучность не представляется возможным. Нужно быть осторожным при загрузке документов и стараться не иметь дело с форматом ETD, который, впрочем, может быть замаскирован под PDF. При открытии специально сформированного ETD файла возможно выполнение произвольного кода с правами пользователя, запустившего программу.

Концепция эксплоита опубликована на http://www.securitylab.ru/50702.html

В завершении рассмотрим популярный интернет браузер Firefox, представленный как безопасная замена Internet Explorer. Учитывая, что большое количество вендоров рекомендует своим клиентам переходить на Firefox, вероятно, что и в опытной корпоративной сети найдется некоторое количество компьютеров с этим интернет браузером. Mozilla Firefox до версии 1.0.2 некорректно обрабатывает некоторые расширения графического формата GIF, что может привести к выполнению произвольного кода в контексте программы. Учитывая, что львиная доля графики на веб-сайтах выполнена именно в GIF формате, необходим немедленный апгрейд до последней версии браузера во избежание компрометации системы.

На этом мы остановимся. Наша, казалось бы, довольно надежная сеть на проверку оказалась полной сюрпризов. Самое печальное, что перечисленные уязвимости нельзя обнаружить с помощью сканеров безопасности. Можно попытаться пресечь попытки их эксплуатации, используя системы обнаружения атак, однако на практике такой подход оказывается несвоевременным и неэффективным.

Увлекшись изучением уязвимостей в программном обеспечении, мы даже не затронули маршрутизатор Cisco. Не будем уделять ему пристальное внимание, скажем лишь, что на сегодняшний день известен ряд уязвимостей, позволяющих проведение атак типа “отказ в обслуживании” против любых версий операционной системы IOS, что, может сказаться на функционировании всей сети. Учитывая, что обновление IOS является несколько более сложной процедурой, нежели установка обновлений для компьютерных программ, можно ожидать, что не во всех случаях известные уязвимости будут устранены.

В качестве заключения рассмотрим, как в настоящее время решается задача защиты информации в контексте изложенной проблемы.

Тенденция такова, что сегодня наибольшие усилия прикладываются именно к решению проблемы уязвимостей, как стихийного и непредсказуемого фактора. Проблема “срыва стека”, именуемая иначе переполнением буфера, является причиной подавляющего большинства инцидентов безопасности, приводящих к самым серьезным последствиям. Известны основные пути ее решения. Так, RedHat Enterprise Linux 4 является первым коммерческим дистрибутивом Linux, на котором проведение такого рода атак не будет эффективным. Для платформы Windows созданы решения, позволяющие существенно ограничивать разрушительные свойства последствий срыва стека. Примеры тому - ISS Proventia Desktop и Cisco Security Agent. Конечно, предстоит еще проверить эффективность таких решений. По некоторым сведениям эффективность этих систем пока не превышает 50%. Не забудем о разработчиках микропроцессоров, которые активно разрабатывают архитектуры, позволяющие снизить эффект от проведения атак по срыву стека. Одним из известнейших представителей такого семейства является процессор Athlon 64 с технологией No Execute (NX), который демонстрирует хорошие результаты на операционной системе Windows XP  с установленным SP2.

Расцвет популярности переживают сегодня многие сканеры безопасности, которые эффективно находят ошибки, связанные с манипулированием входных данных, занимающими одно из первых мест по тяжести последствий.

Активно развиваются системы автоматического обновления. Наиболее значительных достижений в этой области добилась компания PatchLink.

Неизменно высокий интерес представляют, и будут представлять информационные системы раннего оповещения.

           И все же основная надежда возлагается на интеллектуальные системы управления уязвимостями, которые будут способны не только обнаружить в сложной гетерогенной информационной среде все известные бреши безопасности по совокупности известных признаков, классифицировать их по степени опасности, но и активно участвовать в их устранении. Одной из последних инициатив в этом ключе является проект Common Vulnerabilities Scoring System (CVSS), отвечающий за создание открытого стандарта по многофактороной оценке уязвимостей в соответствии со специально разработанными метриками. К проекту уже присоединились компании Cisco, Symantec, CERT, Qualys, ISS, и Microsoft, что гарантирует проекту блестящее будущее.

Андрей Захаров

"Лаборатория Касперского" - международная компания-разработчик программного обеспечения для защиты от вирусов, хакеров и спама. Продукты компании предназначены для широкого круга клиентов - от домашних пользователей до крупных корпораций. В активе "Лаборатории Касперского" 16-летний опыт непрерывного противостояния вирусным угрозам, позволивший компании накопить уникальные знания и навыки и стать признанным экспертом в области создания систем антивирусной зашиты.

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе, различные скидки от

Академия Информационных Систем (АИС) создана в 1996 году и за время работы обучила свыше 7000 специалистов различного профиля. АИС предлагает своим партнерам десятки образовательных программ, курсов, тренингов и выездных семинаров. Сегодня АИС представлена направлениями: «Информационные технологии», «Дистанционное обучение в области ИТ», «Информационная безопасность, «Управление проектами», «Бизнес-образование», «Семинары и тренинги», «Экологические промышленные системы», «Конференции», «Консалтинг» и «Конкурентная разведка на основе Интернет».