Коллектив авторов - Защита от хакеров корпоративных сетей

С технической точки зрения лучшими характеристиками обладает так называемая совершенная передовая секретность PFS (Perfect Forward Secrecy). Говоря кратко, этими словами обозначается свойство криптографических систем, которое означает, что если данные будут скомпрометированы, то уже отосланные данные останутся в безопасности. Для симметричной криптографии свойство PFS выполняется почти автоматически: используемый сегодня ключ никак не связан с ключом, который был использован вчера, поэтому при компрометации сегодняшнего ключа злоумышленник не сможет воспользоваться им для расшифровки ранее переданных данных. Конечно, данные, которые будут переданы после компрометации, подвергаются риску, но, по крайней мере, ранее переданные данные остались в безопасности. Асимметричные шифры решают эту проблему частично. Как уже упоминалось, сохранение одного и того же ключа расшифровки часто является необходимостью, потому что его достаточно долго используют для проверки данных, удостоверяющих пользователя. Следует помнить о недостатках этого способа.

Приоткрывая завесу

Совершенная передовая секретность: маленький секрет протокола SSL

Маленький секрет протокола SSL состоит в том, что в отличие от протокола SSH его стандартные режимы работы не обеспечивают совершенную передовую секретность PFS. Объясняется это излишней любовью к PGP. В результате злоумышленник может затаиться в ожидании благоприятного для него стечения обстоятельств, прослушивая на досуге зашифрованный трафик. Он будет прослушивать трафик до тех пор, пока однажды не взломает протокол SSL и не похитит используемый им секретный ключ. Секретный ключ SSL можно извлечь едва ли не из большинства сделанных на заказ аппаратных средств. После этого весь ранее перехваченный трафик может быть расшифрован: номера кредитных карточек, транзакции, все переданные данные становятся беззащитными независимо от времени, прошедшего с момента их передачи. Подобное можно было бы предотвратить внутри существующей инфраструктуры, если бы VeriSign или другие центры сертификации предоставили удобный и недорогой способ циклической замены криптографической пары, заверенный извне. Или если бы производители браузера реализовали способ защиты информации с помощью мандатов или эквивалентного ему по защищенности способа, поддерживающего набор шифров с возможностью совершенной передовой тайны PFS. Поскольку ничего этого нет, то протокол SSL на самом деле обеспечивает меньшую безопасность, чем следовало бы.

Сказать, что это досадное недоразумение, мало. Это самая бесчестная тайна в стандарте шифрования Интернет.

Методологии конфигурации: построение индекса потенциального доверия

У всех систем есть слабые стороны, которые рано или поздно проявляются. Это неизбежно, потому что часто люди верят случайным лицам, которые учат их, кому и что доверять. Даже лучшие из систем защиты будут работать с ошибками, если ошибочна начальная конфигурация их индекса потенциального доверия.

Достойно удивления то, что администрирование баз данных аутентификации, при помощи которых защищается целостность сетей, выполняется по незашифрованным соединениям. Последовательность обязательных для системы действий, которые она должна выполнить во время своей идентификации при установлении внешней связи, обширна и в целом не продумана. Позже в этой главе будет приведен пример, который, по всей видимости, очень удивит читателя.

На очереди стоит вполне серьезный вопрос. Предполагая, что доверие и подлинность являются понятиями нечто, что предназначено для блокировки внутренней части системы, спрашивается: «Где именно эту блокировку следует осуществить, нужно ли ее осуществить в централизованном порядке и необходимо ли ее осуществлять вовсе?»

Локальное и централизованное управление безопасностью

Один из важнейших вопросов, который должен быть разрешен при проектировании инфраструктуры безопасности, состоит в следующем: «Нужно ли, чтобы каждая рабочая станция, база данных и т. д. была защищена мощным централизованным аппаратом подтверждения подлинности и блокировки доступа, или же каждое устройство ответственно за собственную защиту и настройку?» Этот вопрос преследует важную цель: предотвратить крах системы в случае выхода из строя одной из ее составных частей.

Вопрос звучит уместно. Первое предположение, которое может быть сделано, состоит в том, что соображения по безопасности рабочей станции должны учитывать все, даже на первый взгляд маловероятные и параноидные идеи, которые только возможны при рассмотрении каждой станции в отдельности. Очевидно, что объем паранойи, вложенный в каждую машину, маршрутизатор или какое-либо другое устройство, остается в рамках разумного, если люди продолжают эксплуатировать машину. Для появления централизованной базы данных обеспечения безопасности нужно, чтобы, по-видимому, приснился кошмарный сон, посвященный защите безопасности. Не так ли?

Проблема заключается в том, что для компании реализация совершенной системы защиты не является самоцелью. Система защиты нужна ей только для выполнения своих функций с использованием существующих программных и технических средств. Редко системы обладают средствами защиты, в которых они действительно нуждаются. Посредством избавления от излишней паранойи и переложения защитных функций на специализированные машины обеспечения безопасности в той мере, насколько это действительно необходимо, может быть создана инфраструктура с работоспособной интерфейсной частью и необходимым обеспечением безопасности в фоновом режиме.

Преимущество централизованной базы данных обеспечения безопасности состоит в том, что она позволяет моделировать подлинную инфраструктуру защищаемого сайта пользователя. По мере расширения сайта общий доступ ко всем его ресурсам должен быть ограничен и последовательно распределен сверху донизу. Если нет ответственного за изменение инфраструктуры в целом, то изменить ее с помощью простых средств невозможно. Чрезмерно распределенные средства управления подразумевают наличие кластера (группы) доступа у любого, кому потребовался доступ.

Нельзя обеспечить безопасную инфраструктуру, если доступ предоставляется по желанию.

Конечно, недостаток централизованного управления заключается в появлении в сети средств удостоверения подлинности, которые нужно настраивать. Но при наличии многих пользователей, желающих воспользоваться Telnet'ом для изменения паролей (что в конечном счете превращается в бессмыслицу, потому что никто не захочет менять сотни паролей вручную), пользователь неожиданно оказывается блокированным внутри инфраструктуры, которая является зависимой от своих защитников – межсетевых экранов.

Ужасно то, что в век сверхактивности подключенных к сети компьютеров межсетевые экраны становятся все менее эффективными. Объясняется это просто: все большее число их возможностей используется злоумышленником для своей атаки.

Обман пользователей настольных компьютеров

Большинство атак спуфинга нацелено на владельцев ресурсов. Как правило, пользователи замечают исчезновение собственных ресурсов и очень редко обнаруживают случаи использования их ресурсов посторонним до тех пор, пока у них не пропадет возможность получить что-либо от кого-либо.

Поэтому с точки зрения злоумышленника лучшим вариантом спуфинга является фальсификация, которую жертва не замечает. Уязвимость возникает там, где появляется возможность взлома. Взлом практически невозможно скрыть (так называемая атака медленного разрушения). Для злоумышленника возможность тайного контроля над ресурсом всегда полезнее, чем его разрушение.

Преимущество фальсификации заключается в потенциальной способности злоумышленника воспользоваться возможностями, которые открываются перед ним при присвоении чужих данных идентификации. Доверие к участнику соединений сохраняется до тех пор, пока сохраняется доверие к представленным им идентификационным данным. Фальсификация идентификационных данных живуча и зачастую может намного пережить любую другую разновидность спуфинга в сети. Если злоумышленник контролирует учетную запись пользователя в большей степени, чем сам пользователь, то это приводит систему к состоянию, которое известно как обман системы (under spoof).

Напасть автообновлений приложений

Вопрос: «Что в результате получит пользователь, если он объединит возможности мультимедийного программиста, свободный доступ к выбранному хосту без его разрешения и легкомысленное отношение к своей безопасности только потому, что это всего лишь автообновление?» Ответ: см. рис. 12.1.

Рис. 12.1. О чем говорит программа Winamp?

Что хорошего делают межсетевые экраны? Поверьте, что не так мало: так, это предотвращает доступ к сети, который пользователем явно не был запрошен. Удивительно, но пользователи хорошо осведомлены о программах, которые они запускают для получения доступа. Web-браузеры, помимо других своих достоинств, вероятно, являются наиболее отказоустойчивыми программами, которые очень серьезно подходят к проверке диапазона допустимых значений переменных. Кроме того, сегодня они являются наиболее часто атакуемыми сетевыми программами. Браузеры могут завершиться аварийно, пытаясь обработать все ошибки, но, по крайней мере, они сообщают о попытках их аварийного завершения.

Посмотрите на экранную форму автоматического обновления, которая приведена на рис. 12.1. Содержание экранной формы поступило из сети. C точки зрения идентификации анализ ее содержания ничего не дает. Разве только он позволяет определить, что запрос поступил от сайта www.winamp.com по протоколу HTTP с методом доступа GET, который содержит параметры /update/latest-version.jhtml?v=2.64. (Автор полагает, что 2.64 – это номер версии программы, установленной на компьютере. С помощью запроса на сайт пересылается номер установленной на хосте пользователя версии, а в ответ он сможет ответить о наличии более новой версии.) Несложно сформировать запрос, чтобы при его запоминании в буфере буфер разумно быстро переполнялся, например буфер переполнится при указании на файл размером в 11 Мб. В главе 11 было рассказано о способах организации подобных атак.