Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире
По сути дела, это способ использовать ошибки переполнения буфера в компьютерных системах. Компьютеры хранят в памяти все программы и данные. Если компьютер запрашивает у пользователя пароль, который должен состоять из 8 символов, и получает пароль из 200 символов, то дополнительные символы могут записаться в какую-то другую область памяти. (Компьютер не может предположить, что происходит что-то неправильное.) Если это подходящая область памяти, и в нее записать нужные символы, то можно изменить команду «запретить подключение» на команду «разрешить доступ» или даже выполнить ваш собственный код.
Червь Морриса является, вероятно, наиболее известным примером использования ошибки переполнения. Он использует переполнение буфера в программе для UNIX, которая должна идентифицировать пользователя по вводимым им данным. К сожалению, в ней не существовало ограничения на размер вводимой информации. Ввод более чем 512 байт приводил к переполнению буфера, и специальный длинный код Морриса позволял установить его мошенническую программу на компьютер, подвергшийся нападению, и выполнить ее. (Эта ошибка, конечно, была исправлена.)
Описание этого червя особенно уместно в данном разделе, поскольку он сам содержит программную ошибку. Он должен был перепрыгивать с компьютера на компьютер в Интернете, копировать сам себя на каждый сервер и затем следовать дальше. Но опечатка в коде привела к тому, что вирус копировался неограниченное число раз на каждом компьютере. Результатом была поломка пораженных компьютеров. Крушение произошло на 6000 серверах Интернета, в то время это составляло 10% от их общего числа.
Умелое программирование способно предотвратить этот род нападений. Программа может сокращать пароль до 8 символов, так что лишние 192 символа никогда не запишутся в память. Сделать это легко, но применить везде – сложно. Проблема состоит в том, что в любой части современного большого и сложного кода есть достаточно мест, где возможно буферное переполнение (которые не столь просто обнаружить, как в этом примере). Очень трудно гарантировать, что нет никаких проблем с переполнением, даже если у вас было время для проверки. Чем больше и сложнее код, тем больше вероятность нападения.
В Windows 2000 содержится 35-60 миллионов строк кода, и никто, кроме самих разработчиков, не видел их.
Вездесущность ошибочного кодаЭтот подраздел в основном посвящен Интернету и недостаткам в его безопасности. Это не означает, что в Интернете большее количество недоработок защиты, чем в других сетях. Недостатки Интернета чаще привлекают внимание просто потому, что большинство людей имеют дело с его программным обеспечением и находят там просчеты. Программное обеспечение в других областях киберпространства – в телефонной сети, в банковской электронной сети – точно так же содержит множество ошибок.
По данным Университета Карнеги-Меллона, на 1000 кодовых строк обычно приходится от 5 до 15 ошибок. Большинство этих ошибок не влияет на выполнение программ и никогда не обнаруживается. Но любую из них можно использовать для взлома защиты.
Создается впечатление, что код Интернета быстро улучшается. Недостатки защиты находят постоянно. Некоторые компьютерные журналы еженедельно публикуют сведения об ошибках в почтовых программах, обнаруженных за прошедший период. Создатели этих программ обычно довольно быстро исправляют ошибки, как только те становятся достоянием общественности; но до тех пор большинство из них не будут беспокоиться.
Это, конечно, предполагает, что вы всегда ставите самые последние «заплаты». Обычно вслед за сообщением об уязвимости выпускается заплата. Если вы верите новостям, то история на этом завершится. Но в большинстве случаев заплаты никогда не устанавливаются. Главная проблема Интернета состоит в том, что внесенные исправления не обязательно доходят до пользователей программного обеспечения. «Эпоха Интернета» повлияла и на работу системных администраторов.
Даже при том, что заплаты доступны, прореха остается. По существующим оценкам, более чем 99% всех нападений в Интернете могли быть предотвращены, если бы системные администраторы использовали самые свежие версии системного программного обеспечения. Поэтому сканирующие устройства, определяющие уязвимые места, являются такими подходящими инструментами и для хороших, и для плохих парней.
Даже если предположить, что каждый пользователь всегда работает с последним обновлением какой-либо программы, положение не становится лучше. При выпуске каждой новой версии в ней появляются новые ошибки. Если в версии 1.0 были найдены и исправлены десятки или сотни ошибок защиты, то это ничего не говорит о надежности версии 2.0. Вероятно, версия 2.0 больше и имеет большее количество особенностей; в ней имеются все типы нового кода. Исправления, внесенные в первую версию программы, нельзя перенести во вторую, и, кроме того, там, вероятно, ошибок стало еще больше.
Глава 14
Аппаратные средства безопасности
Это древняя идея. Она начала воплощаться, когда первый человек нарисовал линию, обозначающую вход в его пещеру, объявив тем самым, что с одной стороны этой границы находится его территория, и затем охранял свою пещеру от всех, кто был с этим не согласен. К аппаратным средствам безопасности можно отнести массу различных вещей: компьютерные помещения за запертыми дверями и охраняемые заграждения, помехоустойчивые устройства для платного телевидения, безопасные опознавательные знаки для контроля доступа, смарт-карты для приложений электронной коммерции и мины, которые взрываются, если вы пытаетесь обезвредить их. Реализация идеи создания безопасной территории различна в каждом из этих случаев, но основная мысль такова: намного легче построить систему компьютерной безопасности, если некоторые части системы останутся недоступными для большинства людей. Для этого можно использовать изначально заложенные в устройства физические средства защиты.
И это правда. Легче сконструировать безопасную систему платы за парковку, если вы способны предположить, что мошенники не смогут использовать парковочные счетчики, чтобы набить себе карманы. Легче представить себе охрану библиотеки и предположить, что люди не смогут вынести из здания книги, спрятав их под пальто. И легче создать электронный бумажник, если у вас есть основания считать, что люди не смогут присвоить любое количество денег.
Рассмотрим совершенную безналичную денежную систему: каждый имеет при себе бумагу, на которой написано число, представляющее денежную сумму, которой он располагает. Когда кто-нибудь тратит деньги, он зачеркивает старое и пишет меньшее число. Когда он получает деньги, то поступает наоборот. Если каждый честен, система работает. Как только некто заметит, что он может написать на бумаге любое число, которое захочет, системе придет конец.
Однако это в точности та же самая система, которую до эпохи компьютеризации банки использовали для депозитных счетов. Когда кто-то кладет деньги на депозит, это отражается в банковской книге, хранящейся в специальном помещении банка, другая книга находится в распоряжении клиента[40]. В банковской книге записано число, соответствующее количеству денег, которые данное лицо хранит в банке. Если оно вносит или снимает деньги со счета, банк записывает новую сумму в обеих книгах. Эта система работает потому, что одна из книг находится в охраняемом помещении банка. Она и есть «настоящая» книга; книга, которая у вкладчика, – это только ее копия, выдаваемая для его спокойствия. Если вкладчик подделает запись в своей книге, это приведет к несоответствию с записью в книге, хранящейся в банке. Кассир в банке обнаружит эту неувязку, возможно, проверит другие записи, чтобы удостовериться, что действительно была предпринята попытка мошенничества, и поступит соответственно обстоятельствам. Клиент не может изменить записи в книге, хранящейся в банке, поскольку не вправе проникнуть на охраняемую территорию. (Кассир, конечно, имеет гораздо больше возможностей совершить мошенничество.)
Этот пример показывает, насколько важно создать безопасную территорию: система безопасности не будет работать без нее.
Мы можем построить систему анонимных карточек для оплаты таким же образом. Клиенты носят смарт-карты в своих бумажниках. Смарт-карта содержит в памяти информацию о количестве долларов на счете, точно так же, как банковская книга. Смарт-карты могут взаимодействовать друг с другом через некий терминал пункта продажи. Когда клиент что-нибудь покупает, его смарт-карта вычитает сумму потраченных денег из количества, которое хранилось в памяти, и записывает в память новую, меньшую сумму. Когда торговец продает что-нибудь, его смарт-карта прибавляет стоимость товара к числу, хранящемуся в памяти. Такая операция может осуществляться только одновременно с обеими картами (это легко контролировать с помощью секретных ключей смарт-карт), так что всегда сохраняется баланс. И чтобы воспрепятствовать кому бы то ни было проникнуть внутрь смарт-карты и изменить баланс, карты должны быть защищены от вторжения.
