Раздел "Безопасность". Содержание:
Статьи:
Защитим права администратора
Алгоритм шифрования DES
Америка не готова к атакам хакеров
Простая "вирусная" проверка
Новости:
Доменная зона .name привлекла внимание хакеров
Хакеры снова наехали на сайт SCO GROUP
Китай угрожает миру собственным стандартом безопасности WLAN
Безопасность в Сети гарантировать нельзя
Раздел "Безопасность". Статьи:
Защитим права администратора
Доступ с правами
администратора — голубая мечта взломщика компьютерных систем,
поэтому именно о защите административных полномочий должен в первую
очередь заботиться тот, кто отвечает за безопасность. Однако
обеспечить надежную защиту административных учетных записей — значит
не только просто правильно выбрать пароль. Некоторые особенности
Windows NT, ошибки и неудачные параметры конфигурации по умолчанию
образуют множество «дыр», через которые взломщик может проникнуть в
систему. Системные администраторы настолько загружены, что часто еще
больше усложняют проблему, используя широко распространенные, но
ненадежные приемы администрирования. Знать слабые места в системе
безопасности чрезвычайно важно для защиты и мониторинга
административных учетных записей.
Уязвимость встроенной учетной записи администратора
В одной из своих статей я
уже отмечал, что сама природа встроенной учетной записи
Administrator делает NT уязвимой в отношении атак, направленных на
«взлом» административной учетной записи. Нельзя просто взять и
удалить эту всемогущую запись, так что злоумышленник знает
наверняка, чей пароль нужно взламывать. К тому же по умолчанию NT не
выполняет блокировку учетной записи Administrator после нескольких
неудачных попыток регистрации, даже если установлен режим блокировки
учетной записи после определенного числа таких попыток с помощью
утилиты User Manager (команда Policy, Account). К счастью, положение
можно исправить. Во-первых, нужно запустить утилиту Passprop с
параметром /ADMINLOCKOUT (эта утилита из состава Microsoft Windows
NT 4.0 Resource Kit впервые появилась в Service Pack 3). В
результате на учетную запись Administrator будут распространяться те
же ограничения установленной учетной политики, что и на остальные
учетные записи.
Следующий шаг —
переименовать учетную запись Administrator, чтобы лишить
злоумышленника очевидной цели. Вместе с тем, если ограничиться
простым переименованием, безопасность окажется мнимой. Например,
известная программа RedButton использует анонимные соединения для
перебора всех учетных записей и может найти переименованную учетную
запись по ее идентификатору системы защиты SID, который никогда не
меняется. Для защиты от подобного рода атак следует установить
сервисный пакет SP3 и активизировать параметр реестра
RestrictAnonymous. Нужно иметь в виду, что это действие может
привести к некоторым проблемам в работе службы Computer Browser.
После переименования встроенной учетной записи Administrator следует
изменить поля Description и Full name, поскольку их значения по
умолчанию раскроют истинную роль переименованной учетной записи.
Многие системные администраторы идут еще дальше по пути маскировки
встроенной административной учетной записи и создают учетную запись
— «приманку». Эта запись не имеет никаких полномочий, но обладает
всеми внешними атрибутами встроенной административной записи — в
частности значениями по умолчанию в полях Description и Full name.
Постоянный мониторинг процесса регистрации по данной учетной записи
поможет выявить скрытые попытки проникновения в систему.
Ошибки
Ошибки кода операционной
системы — еще одно уязвимое место защиты административных
полномочий. В NT предусмотрено четкое разделение прикладных и
системных процессов, что предохраняет систему от приложений —
«диверсантов», которые пытаются найти лазейки в системе
безопасности. Соответственно, имеется два режима работы программ.
Приложения работают в пользовательском режиме, при котором запрещен
доступ к произвольным областям памяти, аппаратуре и другим
процессам. Операционная система работает в режиме ядра, и система
ограничений здесь значительно слабее. Разделение режимов, в
сочетании с другими характеристиками NT, должно было бы стать
непреодолимой преградой на пути злоумышленника, но некоторые ошибки
программного кода операционной системы все же дают о себе знать.
Например, такие программы, как getadmin и sechole, могут
предоставить непривилегированным пользователям полномочия
администратора в любой системе, где есть возможность эти программы
запустить. Другая ошибка в программном коде ОС приводит к тому, что
пользователи могут повысить привилегии своей учетной записи
посредством запуска специальной программы-заставки.
Пользователи то и дело
находят все новые и новые ошибки, а Microsoft реагирует на их
«открытия» выпуском соответствующих «заплаток». Использование
программных «заплаток» — единственный способ защититься от ошибок в
программном коде операционной системы и вызванной ими уязвимости
системы безопасности. Тем, кто хочет быть в курсе последних новостей
в этой области, советую подписаться на бюллетень по адресу: http://www.microsoft.com/security.
Уязвимость реестра
Злоумышленник может
попытаться получить администраторские полномочия различными
окольными путями, которые можно перекрыть простым изменением
конфигурации и разрешений. Во-первых, в реестре есть несколько
ключей, содержащих текст, интерпретируемый системой как команда,
которую нужно запустить при регистрации пользователя. По умолчанию
списки контроля доступа (Access Control List, ACL) для этих ключей
слишком широки. Например, когда пользователь регистрируется в
системе, NT проверяет раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run, после чего исполняет каждое текстовое
значение, содержащееся в ключе, как команду с привилегиями
зарегистрировавшегося пользователя. Непривилегированный пользователь
может добавить в этот раздел свои команды и дождаться, когда
администратор зарегистрируется в системе. Когда это произойдет,
команды, указанные злоумышленником, будут исполнены уже от имени
администратора. Команды при этом могут делать все что угодно — от
добавления взломщика в группу Administrators до изменения прав
доступа к жизненно важным каталогам системы. По умолчанию группа
Everyone имеет право Set Value в данном разделе. Очевидно, это право
необходимо отменить. Имеются и другие разделы реестра, подвергающие
риску систему защиты, хотя способ «взлома» в каждом конкретном
случае может оказаться достаточно сложным.
Как и в случае с другими
мерами по укреплению защиты, выполнение рекомендаций, связанных с
повышением безопасности доступа к разделам реестра, может вызвать
проблемы совместимости с плохо написанными приложениями, работа
которых была рассчитана на незащищенную конфигурацию системы. Такие
ситуации особенно часто возникают на рабочих станциях. Я бы
рекомендовал в целях повышения безопасности уделить внимание прежде
всего серверам и контроллерам доменов, которые должны по определению
соответствовать более строгим требованиям в этом отношении, чем
рабочие станции, в частности, и потому, что интерактивный запуск
приложений на серверах и контроллерах доменов случается значительно
реже. Файлы операционной системы в каталоге \%systemroot% (чаще
всего C:\Winnt) с назначенными по умолчанию разрешениями также
уязвимы для несанкционированных изменений. Непривилегированные
пользователи могут заменить критически важные файлы операционной
системы своими версиями, которые система будет исполнять в
привилегированном режиме. Список каталогов, которые содержат
подобные файлы, и рекомендованные изменения списков контроля доступа
приведены в многочисленных публикациях (например, в упоминавшейся
выше книге Стива Саттона «Windows NT Security
Guidelines»).
Защита реестра и
каталогов операционной системы начинается с ограничения удаленного
доступа к ним. С помощью одного-единственного раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SecurePipeServer\winreg можно указать, кто имеет право
удаленного доступа к реестру (независимо от разрешений для
конкретных разделов). Дополнительную информацию об ограничении
удаленного доступа к реестру можно найти в статье «How to Restrict
Access to NT Registry from a Remote Computer» (http://support.microsoft.com/support/kb/articles/q153/1/83.asp).
Важно убедиться, что пользователи не могут получить удаленный доступ
к каталогам операционной системы благодаря неосторожно созданным
общим ресурсам. Следуя приведенным выше простым рекомендациям, можно
ограничить круг лиц, способных внести изменения в реестр и файловую
систему.
Службы
Существует еще один
способ защиты административных учетных записей. Он потребует особого
внимания к службам, доступным обычным пользователям. Многие
системные службы, например планировщик задач или сервер баз данных,
предоставляют в распоряжение пользователей механизмы запуска команд,
исполнять которые будет сама служба. Некоторые планировщики
достаточно «умны» и умеют выполнять команды от имени учетной записи
пользователя. Другие этого делать не умеют, и команда выполняется с
привилегиями учетной записи самой службы. Например, в состав
Microsoft SQL Server входит собственный планировщик задач и
SQL-команд, что дает пользователям SQL Server возможность выполнять
команды операционной системы. В этом случае существует два способа
защиты администраторских полномочий. Во-первых, можно ограничить
права пользователей на выполнение команд настройкой самой службы.
Большинство служб, таких, как SQL Server и Microsoft Exchange
Server, снабжены механизмами аутентификации и контроля доступа.
Необходимо убедиться, что такие механизмы корректно
сконфигурированы, и следить за их настройкой. Во-вторых, зачастую
подобные службы запускаются от имени системной учетной записи Local
System Account, которая даже мощнее, чем учетная запись
администратора системы. Чтобы этого избежать, нужно создать
отдельную учетную запись для службы и предоставить ей только те
права и разрешения, которые необходимы для работы. В результате если
кто-то и получит возможность работать с данной службой, то у него
будут лишь те права доступа к системе, которые предоставлены учетной
записи службы.
Такой подход особенно
важен применительно к системной службе планировщика NT Scheduler. По
умолчанию эта служба работает от имени системной учетной записи.
Если это не имеет значения, ее можно запускать от имени
непривилегированного пользователя. В любом случае следует иметь в
виду, что члены группы Server Operators могут выполнять команды с
помощью NT Scheduler, лишь когда значение реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\LSA\SubmitControl равно 1. Запуск NT Scheduler от имени
системной учетной записи или пользователя с административными
привилегиями фактически означает, что члены группы Server Operators
могут повысить собственные привилегии до уровня администратора
системы. Здесь важно убедиться, что значение ключа реестра
SubmitControl равно 0.
И последнее замечание
относительно конфигурации системных служб: следует помнить о том,
что NT уязвима с точки зрения физического доступа. Если
злоумышленник сможет загрузить компьютер под управлением DOS или
другой операционной системы, он получит неограниченный доступ к
системе. Использование пароля на уровне BIOS ограничит возможность
локальной загрузки и модификации параметров CMOS. Однако не нужно
полностью полагаться только на такую защиту. Взломщик может обойти
все подобные уловки, сбросив BIOS, удалив батарейки или просто изъяв
из компьютера жесткий диск. Известно, что в Internet можно найти
заводские пароли для многих моделей BIOS. Лучшая защита — держать
сервер, ленты с резервными копиями данных и диски аварийного
восстановления под замком.
Рекомендации администраторам
Продуманная конфигурация
системы — чрезвычайно важный аспект защиты учетных записей с
административными привилегиями. Однако не менее важно выработать
строгую систему правил применения административных учетных
записей.
Я не рекомендую
использовать встроенную учетную запись Administrator в ежедневной
работе. Поскольку эта запись — первая цель злоумышленников, ею лучше
пользоваться для отслеживания попыток проникновения в систему. Если
активизировать аудит регистрации пользователей и воздерживаться от
применения учетной записи Administrator, можно быстро обнаружить
активное зондирование этой учетной записи в журнале безопасности
системы (Event ID 528 — успешная регистрация, Event ID 529 — ошибка
регистрации).
Еще один повод не
использовать в работе учетную запись Administrator — необходимость
идентификации самих администраторов системы. Если несколько человек
работают с учетной записью Administrator (или любой другой учетной
записью), нет возможности идентифицировать самого человека. С
помощью аудита в этом случае нельзя определить, кто чем занимался.
Следовательно, имеет смысл создавать для каждого администратора
системы отдельную учетную запись. Многие полагают, что увеличение
числа административных учетных записей повышает вероятность «взлома»
системы. Но, в конце концов, используется ли одна учетная запись
Administrator или несколько с эквивалентными полномочиями, все равно
число пользователей, которые могут случайно раскрыть свой пароль,
одно и то же. А это означает, что создание отдельных учетных записей
позволяет, не ослабляя защиту, проследить активность отдельно
взятого злоумышленника и тем самым избежать проблем, возникающих в
том случае, если секрет известен многим. И, кроме того, когда
человек перестает быть администратором, нет нужды изменять общий
пароль и вспоминать, кого об этом нужно известить — достаточно
просто блокировать или удалить учетную запись данного
сотрудника.
Еще одно важное правило
для администраторов: зарегистрировавшись в системе по учетной записи
с административными полномочиями, не следует запускать программу, к
которой нет полного доверия. Администратор, запускающий такую
программу, подобен офицеру, выполняющему приказ на запуск
баллистической ракеты без проверки подлинности приказа. Однако
претворить эту рекомендацию на практике куда сложнее, чем ее
декларировать, если принять во внимание постоянно изменяющуюся
вычислительную среду и повсеместный доступ в Internet. Web-браузер,
к примеру, вовсе не та программа, которой следует безоговорочно
доверять, а значит, зарегистрировавшись с правами администратора,
надо быть начеку. К сожалению, электронная почта — также
небезопасное средство с этой точки зрения. Некоторые недавние случаи
наглядно продемонстрировали способность злоумышленников выполнить
произвольный код на чужой машине с помощью простого электронного
письма. В одном случае злоумышленник спровоцировал переполнение
буфера в среде Microsoft Outlook 98 при обработке присоединенных к
письму файлов. Аналогичные последствия могут возникнуть и в таких
приложениях, как Microsoft Word и Microsoft Excel, в связи с быстрым
распространением макровирусов.
Чтобы реально защитить
учетные записи администраторов, следует создать две записи для
каждого администратора — одну с административными привилегиями, а
другую без них. Свои повседневные обязанности администраторы могут
выполнять, используя учетную запись с обычными полномочиями, а
запись с полномочиями администратора будет служить исключительно для
выполнения административных функций, например для создания учетных
записей пользователей или изменения их полномочий. Кроме того,
следует своевременно вносить рекомендованные изменения в приложения
и избегать запуска загружаемых файлов без соблюдения соответствующих
мер предосторожности. Современная вычислительная среда слишком
сложна и динамична, и лишь такой принцип работы может надежно
защитить систему.
Вероятно, читатели
удивлены: как же можно отказаться от использования Web-браузера,
электронной почты и других приложений и продолжать выполнять свою
работу. Многие администраторы то и дело переключаются между окном
User Manager for Domains и программой электронной почты или другими
приложениями. А значит, довольно сложно следовать обозначенному выше
правилу: никогда не запускать ненадежные программы. К счастью, в
состав программного пакета Resourсe Kit входит замечательная утилита
SU, диалоговое окно которой показано на Экране 1. Она позволяет
запускать любую программу от имени любой указанной учетной записи,
так что можно зарегистрироваться в системе по одной учетной записи,
а приложения запускать от имени другой. Для защиты своих
административных привилегий стоит взять за правило регистрироваться
в системе по непривилегированной учетной записи и запускать обычные
приложения — текстовый редактор, Web-браузер — привычными значками
рабочего стола. Тогда любой опасный для системы злонамеренный код
будет выполняться от имени ограниченного в правах
непривилегированного пользователя. Кроме того, нужно создать значки
для таких приложений, как User Manager for Domains и Server Manager,
которые следует запускать от имени пользователя с привилегиями
администратора, и воспользоваться утилитой SU для запуска
соответствующих приложений. Единственное неудобство, с которым
предстоит столкнуться, заключается в необходимости каждый раз
вводить пароль для регистрации с правами привилегированного
пользователя.
Серверы и рабочие станции домена
Регулярный мониторинг
параметров системы безопасности серверов и рабочих станций домена,
на которых работают сотрудники, имеющие доступ к критически важным
ресурсам, — важнейший аспект защиты домена, поскольку эти системы
также могут стать мишенью для тех, кто хочет завладеть правами
администратора. Каждый такой сервер и рабочая станция хранят
локальную копию базы учетных данных, которая служит для назначения
пользователям локальных прав и определения их принадлежности к той
или иной локальной группе. Многие дополнительные привилегии
пользователей, например Act as part of the operating system, а также
привилегии, относящиеся к управлению маркерами доступа, позволяют
злоумышленнику захватить управление системой и получить доступ к
административным привилегиям. Встроенные локальные группы
Administrators и Power Users также имеют в системе особые
привилегии.
И, наконец, важно
убедиться в том, что за развертывание рабочих станций отвечают
достаточно компетентные сотрудники. Эту задачу зачастую выполняют
либо начинающие, либо контрактники, а поскольку именно они
устанавливают операционную систему, они выбирают и пароль для
встроенных административных учетных записей. Многие пользователи не
подозревают о существовании встроенной учетной записи Administrator,
а большинство администраторов забывают об этом, как только рабочая
станция установлена. По умолчанию на рабочей станции NT
активизируется служба Server, и станция может функционировать как
файловый сервер. Должны ли посторонние специалисты или младший
технический персонал иметь возможность доступа с правами
администратора к рабочей станции после того, как она передана в
распоряжение того или иного пользователя? Скорее всего, нет, но
часто это происходит именно так — все зависит от методики
развертывания рабочих мест, принятой в организации. Допустим,
младший IT-специалист, проработавший в компании всего лишь несколько
месяцев, имеет доступ к рабочей станции вице-президента по
маркетингу или вице-президента по персоналу. Именно такую картину я
нередко наблюдал в организациях, куда меня приглашали для анализа
системы защиты. Подобные рабочие станции — настоящий клад для
злоумышленника, поскольку на локальных дисках приложения кэшируют
временные файлы, а пользователи хранят конфиденциальную информацию,
несмотря на требования поступать наоборот. Не стоит облегчать
взломщикам жизнь, позволяя им с легкостью проникнуть в систему.
Советую сбросить пароль учетной записи Administrator на серверах и
рабочих станциях домена и рассмотреть возможность отключения службы
Server.
Возможно, многие системные администраторы скептически отнесутся к моим советам.
Полагаю, некоторые даже будут утверждать, что я пропагандирую
безопасность ценой ограничения возможностей. Но тем не менее
привилегии администратора — главная мишень всех взломщиков, а
постоянный рост числа попыток несанкционированного доступа призывает
нас к бдительности. Ведь самое неприятное, что может случиться с
администратором, — это обнаружить, что злоумышленник проник в
систему по его собственной учетной записи.
Алгоритм шифрования DES
Один из самых распространенных алгоритмов шифрования - DES
(Data Encryption Standart) - разработан в середине 70-x годов.
Он используется во многих криптографических системах. Это
блочный алгоритм шифрования с симметричным ключом. Ключ
состоит из 64 битов, но лишь 56 из них применяются
непосредственно при шифровании. Оставшиеся 8 предназначены для
контроля четности: они устанавливаются так, чтобы каждый из 8
байтов ключа имел нечетное значение. Шифруемая информация
обрабатывается блоками по 64 бита, причем каждый блок
модифицируется с помощью ключа в интерационной процедуре,
включающей 16 циклов. В данный момент при длине ключа в 56 битов алгоритм
считается не устойчивым к взлому.
Для большой надежности можно задействовать алгоритм
Triple-DES (http://www.inroad.kiev.ua/prog/3des.htm).
Поскольку DES - федеральный стандарт США, его обычно не
используют в программных продуктах, предназначенных для
экспорта а если и используют то длина ключа не может превышать
56 битов.
Что такое RC5
RC5 это довольно-таки быстрый блочный шифр разработанный
Ривестом для RSA Data Security. Этот алгоритм параметричен,
т.е. с переменным размером блока, длинной ключа и переменным
числом проходов. Размер блока может быть 32, 64, или 128
битов. Количество проходов в промежутке от 0 до 2048 бит.
Параметричность такого рода дает гибкость и эффективность
шифрования.
RC5 состоит из ввода ключа (key expansion), шифрования и
дешифрования. При вводе ключа вводятся также количество
проходов, размер блока и т.д. Шифрование состоит из 3
примитивных операций : сложения, побитового XOR и чередования
(rotation). Исключительная простота RC5 делает его простым в
использовании, RC5 текст, также как и RSA, может быть дописан
в конец письма в зашифрованном виде.
Безопасность RC5 основывается на зависящем от данных
чередованием и смешиванием результатов различных операций. RC5
с размером блока 64 бита и 12 или более проходов обеспечивает
хорошую стойкость против дифференциального и линейного
криптанализов.
Что такое RSA
RSA - один из первых и весьма популярный алгоритм
шифрования с открытым ключом - разработан основателями фирмы
RSA (Rivest, Shmir, Adleman) в конце 70-x годов и назван по
первымбуквам их фамилий.
Степень устойчивости зашифрованной информации к взлому, а
также невозможность по открытому ключу восстановить закрытый
определяются трудностью факторизации больших чисел и зависят
от длины ключа.
Сейчас ключи длиной 512 битов рассматриваются как
недостаточно устойчивые, поэтому в криптографическом
программном обеспечении рекомендуются 768 или 1024 битные
ключи.
Часто используют комбинированный подход: сначала сообщение
кодируются с помощью некоторого ключа по алгоритму типа DES, а
затем ключ зашифровывается с применением RSA и передается
вместе с закодированным сообщением. Это позволяет достичь
высокой скорости обработки информации и в то же время
обеспечивает надежную ее защиту.
Краткие основы RSA: 1. Выбираются большие простые числа
M и N; 2. Вычисляется их произведение: Q=MxN; 3.
Выбирается число D, которое должно быть взаимно простым с
результатом умножения (M-1)x(N-1), т.е. не должно иметь с ним
общих делителей, отличных от единицы; 4. Вычисляется число
A из выражения (AxD) mod [(M-1)x(N-1)]=1;
Таким образом, пара чисел (A,Q) будет твоим открытым
ключом, а пара чисел (D,Q) -- закрытым ключом. Понятно, что
открытым ключом можно только закодировать исходный текст, для
того, чтобы его раскодировать, нужен закрытый ключ.
Кодирование числа P: C=M^A mod Q; Обратная операция:
P=C^D mod Q;
Так вот, для того, чтобы поломать PGP (сиречь RSA),
необходимо и достаточно уметь разложить число Q (которое мы
возьмем, понятно, из открытого ключа, помещенного человеком в
бурные воды, скажем, Fido и/или Internet) на простые
множители. Вот тут-то и начинается самое интересное.
Простые множители числа - летопись в теории чисел, над ними
бились многие математики. о увы, так ничего толком и не
добились. В математике не существует теорем, могущих надежно
предсказать, является ли число простым.
Есть теоремы, которые могут быстро установить, что число
составное, но если условия теоремы не выполняются, то это не
значит, что число простое: это значит, что оно ВРОДЕ БЫ
простое, и надо применять более сильные теоремы, которые, увы,
на машине проверяются только перебором. Далее, нет теорем,
которые помогают хотя бы оценить количество простых
сомножителей числа и порядок их величины.
Так что реально число из, скажем, трехсот десятичных знаков
разложить на простые множители (если они, правда не лежат
близко к корню из числа и т.д. -- есть легкие случаи) за
разумное время нереально.
Так, программа на 386SX40 раскладывает число из 17
десятичных знаков за время, близкое к трем минутам, но время
ее работы есть P*exp(n), т.е. число из 300 знаков она будет
раскладывать в exp(280) раз дольше (это около 5.1*10^279).
Естественно, что если взять более быстрое точило, Cray, к
примеру, то будет побыстрее... :) о все равно не слишком.
Правда, есть более быстрые алгоритмы, решето Сива, например,
но они хороши, когда сомножители лежат близко к корню, и
требуют дикое количество памяти.
Америка не готова к атакам хакеров
Американское Министерство национальной безопасности собрало лидеров ведущих ИТ-компаний США и объявило: страна не готова к серьезным кибератакам. Поэтому все ИТ-специалисты должны объединиться в единый фронт. Россию пока спасает ее относительная информационная неразвитость. Поэтому для несанкционированного доступа к государственным информационным ресурсам проще подкупить чиновника, чем искать опытного хакера.
В Национальном саммите по кибербезопасности участвовали более 350 ведущих ИТ-компаний США. Dow Jones International News цитирует всесильного секретаря внутренней безопасности Тома Риджа, который заявил: "Враги свободы используют те же технологии, что и хакеры". При этом на саммите было сказано, что компьютерные вирусы, наносящие миллиардный вред, не так опасны, как реальные киберугрозы, которые могут разрушить информационную инфраструктуру США. Представители силовых ведомств США заявили, что их собственные учебные атаки показали абсолютную неготовность страны к хорошо спланированной виртуальной атаке.
Апокалиптичность заявлений все равно не может разрушить уверенности, что в США все будет не так уж страшно. Нам достаточно трудно понять их проблемы просто потому, что больше половины населения США регулярно подключается к Интернету, а у нас количество регулярных пользователей Сети колеблется на отметке 10%. Причем в США уже можно говорить о создании систем электронного правительства, которые население может использовать для получения информации. У нас же, по последним данным Минэкономразвития, только сайты МНС, Минобразования, Минобороны, Минприроды, ФКЦБ и Госатомнадзора соответствуют требованиям информационной прозрачности, сформулированным в постановлении правительства от 12 февраля 2003 года. На этой неделе премьер-министр Михаил Касьянов распорядился к февралю 2004 года улучшить сайты остальных министерств и ведомств. Напомним: речь пока идет лишь о нормальном информировании министерств о своей работе - об электронном правительстве чиновники говорят лишь как о проектах. Поэтому взламывать сейчас практически нечего. Те информационные ресурсы, которые действительно представляют интерес, например, для коммерческих компаний или иностранных разведок, просто не подключены к Интернету - в некоторых ведомствах это регулируется специальными инструкциями.
Впрочем, киберворовство в России есть, но оно касается в основном частных лиц. С целью извлечения прибыли взламываются, как правило, домашние компьютеры, для того чтобы украсть данные об оплаченном доступе в Интернет. Затем эти пароли и логины продаются. Однако назвать этот бизнес суперприбыльным нельзя.
Главное, что интересует злоумышленников, - это государственные информационные ресурсы, содержащие данные об экономической деятельности различных компаний. Любого коммерсанта заинтересует информация о поставках его конкурентов, находящаяся, например, в базе данных ГТК. Однако официальных данных о том, что эта база реально взламывалась, нет. При этом в одной из коммерческих компаний "Финансовым Известиям" рассказали, что как-то подключались к базе данных одного из таможенных постов. Правда, коды доступа им были предоставлены одним из сотрудников поста.
В одной из компаний, занимающейся информационной безопасностью, "Финансовым Известиям" рассказали о том, что ресурсы типа базы данных ГТК или МНС взламывают достаточно редко, поскольку проще и дешевле договориться с сотрудником самого ведомства и купить у него необходимую информацию. Дело в том, что всесильность русского хакера - это миф. Хороших специалистов по информационной безопасности очень мало, их обучение стоит больших денег. Поэтому найти профессионала, готового рискнуть своим высокооплачиваемым рабочим местом, трудно.
Простая "вирусная" проверка
Хорошей проверкой антивирусных программ может стать сканирование текстового фалла, содержащего заведомо "мусорное" содержимое.
В простеньком текстовом редакторе (например, в Блокноте) наберите случайный и произвольный текстовый файл, затем сохраните его с расширением .com, .exe или .bat. Проверьте этот файл в своем любом антивирусном пакете. Если файл будет признан опасным, значит пакет неплох, но если файл не вызовет никаких нареканий, лучше сменить антивирусную программу.
Раздел "Безопасность". Новости:
Доменная зона .name привлекла внимание хакеров
Область .name - одну из семи одобренных ICANN в 2001 году - уже используют более 100000 клиентов, зарегистрировавших домены.
На прошлой неделе вебсайт одного из регистраторов в зоне .name был взломан через уязвимость в Apache. На сервере Лондонского глобального регистратора доменных имен обновлялся Apache и интерпретатор PHP, когда хакеры SUr00tIK и GroMx вошли в систему и заменили титульный лист сайта.
Хакеры не успели воспользоваться уязвимостью, и никаких данных потеряно не было.
Хакеры снова наехали на сайт SCO GROUP
Уже в третий раз за год сайт SCO Group, прославившейся своим крестовым
походом против сообщества Linux вообще и компании IBM в частности, подвергся
распределенной сетевой атаке.
По данным пресс-службы SCO Group, на которые ссылается агентство Associated Press,
DDoS-атака началась в среду около 14:20 по московскому времени и, как и в оба
прошлых раза, продолжалась в течение суток. Для осуществления атаки неизвестные
хакеры взломали несколько тысяч подключенных к сети компьютеров и установили
программы, которые и запинговали насмерть серверы SCO. Атака оказалась настолько
эффективной, что в нокдаун был отправлен не только собственно веб-сервер SCO, но
и корпоративная сеть компании.
Служба безопасности SCO Group уже связалась с федеральными властями на
предмет установления личности неизвестных «кибер-террористов».
Китай угрожает миру собственным стандартом безопасности WLAN
Разработав собственный стандарт видеодисков EVD, который позволит избежать отчислений держателям патентов на DVD, Китай еще в одном вознамерился пойти "особым путем". Китайское управление стандартизации (SAC) объявило, что с декабря этого года все WLAN-устройства, продающиеся в стране, должны поддерживать национальный стандарт безопасности WLAN Authentication and Privacy Infrastructure (WAPI). Переходный период для его внедрения продлится до июля 2004 года.
Причина для таких действий у Китая есть: нынешний стандарт Wired Equivalent Privacy (WEP), входящий в состав стандартов 802.11, весьма слаб и может быть легко взломан. Эксперты из института IEEE уже говорят, что использование Китаем WAPI серьезно помешает созданию единого открытого WLAN-пространства и приведет к расколу рынка. В IEEE ведется работа над стандартом 802.11i, а пока в качестве временной меры в выпускающихся устройствах применяется технология Wi-Fi Protected Access (WPA).
Американские и международные организации и компании, в том числе и WiFi Alliance, ведут переговоры с Китаем, пытаясь убедить его отказаться от принятого решения. На крайний случай возможно включение WAPI в 802.11i. Если стороны не придут к соглашению, производителям придется обеспечивать поддержку обоих стандартов, что приведет к росту цен.
Безопасность в Сети гарантировать нельзя
«Обновление антивирусных баз не гарантирует безопасности, ее вообще ничто не может гарантировать», - считает генеральный директор «Лаборатории Касперского» Наталья Касперская. По ее мнению, 100-процентную гарантию безопасности не может обеспечить ни одна компания, работающая на рынке антивирусного программного обеспечения.
Это вовсе не означает, что антивирусными программами не нужно пользоваться, – напротив, с ростом интернета его пользователям придется уделять защите своих ПК все больше внимания. Интернет-аудитория растет и становится все более привлекательной с коммерческой точки зрения, однако одновременно с этим в Сети увеличивается и число преступников, привлеченных возможностью наживы в условиях анонимности. «Мы прогнозируем рост числа преступников в интернете, - заявила Наталья Касперская. – Организованные атаки участятся».
Руководитель антивирусных исследований «Лаборатории Касперского» Евгений Касперский отметил, что в этом году было совершено четыре совершенно новые, непредсказуемые интернет-атаки. «Хулиганы превратились в реальных преступников, зарабатывающих на краже данных с зараженных машин», - считает эксперт. Одновременно он отметил резкий рост количества непрошеных писем, приходящих на ящики электронной почты. По его мнению, спамеры платят хакерам за написание троянов, которые затем рассылаются по почте вместе с непрошеными письмами.
Спам – это очень прибыльный бизнес. По данным компании Radicati Group и «Лаборатории Касперского», в 2002 году спамеры заработали $3 млрд. По итогам этого года их прибыль может возрасти до $5 млрд., а в следующем году - удвоиться и достигнуть $10 млрд. По мнению г-на Касперского, в будущем спамерский бизнес, уже признанный незаконным во многих странах мира, будет контролировать мафия, представители которой станут выполнять в Сети функции налоговой полиции. «Если мафия захочет внедриться в интернет, чтобы делать там деньги, ей не составит труда найти людей, разбирающихся в ИТ и готовых работать на нее», - считает г-н Касперский. Все это создает угрозу безопасности сетей как в национальном, так и в мировом масштабе. Один из путей решения этой проблемы, по его мнению, - обязательная авторизация пользователей Сети и создание интернет-полиции или е-Интерпола.
Однако с ним не согласен другой эксперт по вирусам и спаму - генеральный директор антивирусной компании Panda Software Russia Константин Архипов. «С моей точки зрения, Евгений оперирует теми же критериями, что и люди, ратующие за легализацию проституции и наркотиков: раз эта отрасль контролируется мафией, надо ввести государственное регулирование, и все будет хорошо, - заявил в интервью CNews.ru г-н Архипов. - Однако я не думаю, что следующим шагом Евгения будет инициатива о легализации написания вирусов: какие вирусы считать преступными, а какие нет. Но к чему тогда весь сыр-бор? Не берусь судить, каков доход, получаемый от спама, но рискну предположить, что те $10 миллиардов в 2004 году, о которых идет речь, «размазаны» по всему миру. И сколько там приходится на Россию? А на Москву? А на США? А на Чикаго? Думаю, это относительно небольшие суммы, и, чтобы получать доход, преступное сообщество должно быть планетарного масштаба. Этакий вселенский киберспрут. Такого, слава Богу, нет, а уж если он появится, я первый буду ратовать за то, чтобы он увлекся проблемой спама, а не мировым господством».
|