Cтража на границе миров
Архив- Что за притча?
- Да, да, видом совершенный червь, хоть и не взаправдашний.
Джон Фаулз. "Червь"
- Да, да, видом совершенный червь, хоть и не взаправдашний.
Джон Фаулз. "Червь"
1988 года по Интернету прошло предупреждение: в Сеть проник опасный вирус. При уточнении выяснилось, что ситуация была оценена не вполне адекватно. То, что внедрилось в Сеть, было опаснее простого вируса - это был первый сетевой "червь" (worm). Разница между вирусом и "червем" заключается в том, что первый активизируется в результате действий самого пользователя, а вторые проникают в компьютеры самостоятельно, просверливая свои ходы в сетях.
Создателем "червя" оказался Роберт Моррис (Robert Morris), студент, который, кстати, ранее уже был осужден за противоправное использование компьютеров. Эта история канула в Лету, как и множество других ранних демонстраций уязвимости Интернета.
Однако сразу после этого случая Министерство энергетики США (DOE - Department of Energy) сделало два важных шага.
Первая реакция
Во-первых, были увеличены бюджетные ассигнования в сферу компьютерной безопасности. А во-вторых, в 1989 году при национальной лаборатории в Ливерморе (ее курирует DOE) был учрежден наблюдательный отдел по компьютерным инцидентам (CIAC - Computer Incident Advisory Capability). С тех пор CIAC отрабатывает все поступающие запросы и передает существенную информацию всем центрам DOE.
Получив сообщение об инциденте, CIAC оценивает масштабы бедствия, определяет возможные меры по его ликвидации и предоставляет технические средства для того, чтобы ограничить зону вторжения и устранить нанесенные повреждения. Поиск и задержание виновных проводится в тесном сотрудничестве с правоохранительными органами. Информация, собранная CIAC по каждому конкретному инциденту, анализируется и рассылается всем отделениям DOE и зарубежным партнерам Министерства.
CIAC является "мозговым центром", реагирующим на первичные сигналы тревоги. Помимо того, в США работают многочисленные организации, которые обеспечивают подготовку целой армии специалистов, решающих специфические задачи защиты информации. На семинарах изучаются источники угрозы, меры противодействия им, способы безопасного подключения к Сети, правовые аспекты и методы эффективного использования ресурсов, которыми обладает CIAC. Кстати, желающие могут посетить сайт ciac.llnl.gov, где всегда есть последние публичные новости по рассматриваемой теме.
Для того чтобы результаты работы CIAC были доступны другим государственным органам, правительство США решило создать еще одно ведомство, которое называется FedCIRC (Federal Computer Incident Response Capabilities - FedCIRC.llnl.gov ).
Выход на уровень
Когда появился первый червь, в США уже нарастала волна беспокойства по поводу безопасности компьютерных систем. В 1986 году Конгресс США принял закон о преднамеренных злоумышленных действиях и неправомочном применении компьютеров (Computer Fraud and Abuse Law). За ним в 1987 году последовал закон о безопасности компьютеров (Computer Security Act), утвердивший основные принципы безопасности для национальной сети компьютеров.
С расширением Интернета (а расширяется он экспоненциально) в равной степени растет и опасность, а значит, в той же степени нужно совершенствовать и меры безопасности. К примеру, в 1995 году зафиксировано около четверти миллиона попыток несанкционированного проникновения в компьютеры Министерства обороны США. Количество таких попыток возрастает ежегодно в два раза. За 1997 год, по собственным оценкам Пентагона, его компьютеры были атакованы почти миллион раз.
Конечно, атака атаке рознь. К примеру, это могут быть вполне безобидные сообщения типа "Поздравляю со светлой Пасхой Христовой!", но могут быть и злонамеренные акты, предпринятые с целью порчи информации и вывода из строя целых систем.
Что беспокоит специалистов? То, что оснащенность и квалификация хакеров возрастает, растет их опыт. Хакеры объединяются в сообщества, обмениваются инструментами и технологиями. В эту маргинальную среду вовлекаются люди с разного рода психическими проблемами, которые, что важно заметить, теперь могут пользоваться "боевым арсеналом", почти не прилагая интеллектуальных усилий.
По мере роста технических знаний, растет число и совершенство хакерских инструментов. Особенно тревожит то, что ими могут пользоваться хакеры, не обладающие никакой технической подготовкой.
В ответ на возрастающую опасность Министерство энергетики США сделало очередной ход: был учрежден Центр технологий компьютерной безопасности (CSTC - Computer Security Technology Center), - тоже при ливерморской лаборатории. Собственно, основа для этого проекта была создана еще в 1970 году, когда нынешние руководители CSTC Чак Коул (Chack Cole) и Дуг Мансур (Doug Mansur) успешно совладали с первыми атаками и начали систематическую разработку технологии безопасности компьютерных сетей.
После того как CSTC был сформирован, он принял от CIAC два важных аспекта деятельности: разработку новых методов защиты от компьютерных атак и предоставление консалтинговых услуг.
"Белая Шляпа"
Среди услуг CSTC есть то, что профессионалы называют "Белая шляпа". Это заранее спланированная процедура атаки на информационную систему заказчика. Такие испытания очень сложны и дороги: они должны учитывать архитектуру сети, элементы коммуникаций, наличие разнообразных платформ, протоколов, размещение оборудования в различных географических и временных зонах. Если система очень сложна, то понятно, что для ее полной защиты недостаточно никакого набора механизмов. Либо (что следует из теории систем) сложность механизмов должна превзойти сложность самой системы.
Итак, клиенты обращаются за услугой. Получив заказ, особо засекреченные специалисты, входящие в группу "Белая шляпа" и владеющие как современными методами защиты информационных ресурсов, так и новейшими инструментами и методами взлома информационных систем, просто начинают делать это черное дело и одновременно анализировать события.
Процедуры "Белой шляпы" обязательно согласуются с заказчиком. Как правило, вся акция состоит из трех фаз:
z сканирования сети и определения ее топологии и факторов уязвимости;
z проведения серии попыток проникновения в сеть и попыток ее компрометации через выявленные лазейки и слабые места;
z анализа результатов и выработки рекомендаций по усовершенствованию защиты;
Клиенты, чьи системы прошли через такую мясорубку, смогут сохранить контроль над ситуацией даже во время вторжения.
Инструмент для прецедента
Исследования и разработки, проведенные CSTC, позволили создать инструменты защиты, которые сейчас широко применяются Министерством энергетики США и другими федеральными ведомствами. Часть этих инструментов предназначена именно для выслеживания взломщиков сетей. Применение одного из таких инструментов дало повод для сенсации. Процесс, названный "Судебный прецедент установления обнаружения" (Detection Sets Court Precedent), действительно был прецедентом.
Суть дела такова. В начале 1996 года был задержан аргентинский студент, который нелегально "шарил" по военным компьютерам США. Сначала он сломал защиту в университетских компьютерах, имеющих постоянный доступ к Интернету, - для того чтобы раздобыть пароли. Затем, воодушевленный успехами на этом поприще, он заходил в компьютеры NASA (National and Space Administration), U.S.Navy, U.S.Army, в компьютеры оборонных систем Тайваня, Мексики, Объединенного Королевства и ЮАР.
Аргентинец умудрился пробраться даже к секретным материалам, прежде чем специалисты U.S.Navy выследили его и схватили прямо на месте преступления. Флотская служба использовала программные средства Network Intrusion Detector (NID), разработанные в ливерморской лаборатории и основанные на теоретических изысканиях, проведенных Калифорнийским университетом (в Дэвисе).
Эта система представлена набором инструментов, которые способны отмечать и анализировать попытки нелегального доступа к системам. Определяя некую сеть стационарных компьютеров как защищенный домен, NID будет незаметно для взломщика собирать информационные пакеты (проходящие через этот домен) и проводить всякого рода аналитические процедуры.
Сначала в работу включается инструмент iDetect - для того чтобы убедиться в том, что действительно предпринимаются попытки взлома. Обычно пакеты для действий такого рода имеют специфику в форматах. Данные о взломах, получившие подтверждение, передаются следующему инструменту - iWatch, который устанавливает, через какой узел прошли пакеты, отбракованные iDetect. И если iWatch локализует точку, откуда исходят попытки взлома, то передает данные третьему инструменту - iScript. iScript делает простое, но решительное дело: генерирует протокольный документ, с которым можно идти в суд (или в правоохранительные органы).
Прежде чем NID были использованы в деле, ФБР по запросу Конгресса США дало заключение, что эта система не нарушает гражданских прав (в понимании законодательства США), к примеру, таким образом, как это происходит во время прослушивания телефонов. Более того, были приняты особые меры защиты гражданских прав: в систему NID введены модули-анализаторы, отсекающие информацию частного характера от протокольных элементов, ответственных за проникновение в чужие сети.
29 марта 1996 года генеральный прокурор США Джанет Рено (Janet Reno) объявила по национальному телевидению, что выписан ордер на арест аргентинского студента. Этот случай стал прецедентом, основанным на сборе данных в Интернете.
|
Поимка в реальном времени
Аргентинского хакера задержали бы гораздо быстрее, если бы тогда существовала автоматизированная информационная система оповещения AIS Alarms (Automated Information System). Эта система, которая все еще продолжает расширяться и совершенствоваться, действует подобно тому, как действуют полицейские участки или пункты ФБР. AIS Alarms использует разбросанные по сетям датчики, которые и регистрируют подозрительные события. Информация, снятая датчиками, попадает на центральный модуль оценки (CAM - Central Assessment Module), который интерпретирует полученную информацию и принимает решения о дальнейших действиях.
Например, система может включить дополнительные датчики для расширенного сбора данных, направить системным администраторам сообщения о необходимости более тщательного контроля конкретных компонентов сети, реконфигурировать защитные экраны (firewalls), маршрутизаторы или другие коммуникационные узлы. Либо изолировать или локализовать конкретного пользователя, сетевые адреса или сетевые службы.
AIS Alarms отслеживает события практически в режиме реального времени. Все основные части системы - датчики, механизм оценок и реактивные агенты - спроектированы как устройства типа Plug & Play, которые могут быть динамически конфигурированы. Это позволяет адаптировать систему к сетям разных типов, с разными стратегиями обслуживания, а также к разным видам угроз.
Правила, на основе которых CAM принимает решения, можно менять, настраивая на новые определения компьютерных атак. Таким образом, системные администраторы получают возможность самостоятельно формулировать понятие угрозы. Систему датчиков CAM можно объединять в группы и кластеры, создавая контрольные домены сетей.
В области средств защиты сетей происходит непрерывная эволюция методов - в ответ на все более изощренные средства нелегальных проникновений в сети. Поэтому AIS Alarms разработана как эволюционирующая система. Прототип ее очень прост, но в процессе функционирования система обретает точные настройки на действующие условия. В результате эффективность AIS Alarms возрастает, угрозы получают более адекватные отклики, а расход ресурсов минимален.
Проект AIS Alarms был совместно выполнен лабораториями Ливермора, Лос-Аламоса и Сандиа.
Инспекция системных профилей
Встревоженные ведомства США создали еще одно средство безопасности сетей - аналитическую программу проверки профилей безопасности (SPI - Security Profile Inspector). Этот проект был задуман Министерством энергетики совместно с Агентством информационной безопасности (Defense Information Agency) Министерства обороны США.
Разработанный в ливерморских лабораториях, комплекс SPI сейчас проходит апробацию в оборонных ведомствах. В дальнейшем какой-то вариант этой программы станет доступным и частному сектору промышленности.
Система SPI может обеспечить безопасность всех компьютеров в выбранном домене. Системные администраторы могут запускать SPI по заранее заданному расписанию или в произвольный момент времени, обеспечивая защиту от хакеров и даже от посторонних абонентов, пытающихся воспользоваться чувствительными ресурсами системы, внесенными в специальные списки.
Инспектор профиля устанавливается на каждый хост-компьютер в контролируемом домене. Модули системы ведут постоянный контроль файлов, пользователей и рабочих групп, оценивают общую безопасность и состояние уязвимых точек (список которых постоянно пополняется), проводят оценку ненадежных паролей, создают резервные копии баз данных критического значения, собирают информацию о файлах, подвергшихся несанкционированным изменениям. Модули постоянно проверяют доступ к критическим ресурсам, обеспечивают контроль синхронности данных в распределенной среде (что во многих случаях может защитить от "троянских коней").
Компьютеры, оснащенные модулями SPI, соединены с хост-компьютерами, которые собирают и обрабатывают данные и генерируют отчеты, в полной мере отражающие состояние системы. Таким образом, любой хост становится своего рода пультом администратора защищенного домена. А это очень важно в случае повреждения сетевых структур. Действительно, когда ресурсы распределены между тысячами пользователей, то функции администратора им, как правило, не передаются. SPI решает эту проблему - каждый пользователь может стать администратором, только получив это право от центральной станции.
Порядок - залог спокойствия
Можно утверждать, что компьютер в безопасности, если пользователь может безбоязненно доверить ему сведения любой степени конфиденциальности: компьютер "чист", он правильно сконфигурирован, все его компоненты безопасны, и все средства безопасности установлены. Все механизмы доступа к нему имеют защиту, учет доступа ведется должным образом, сетевые средства оснащены контролем транзакций.
Понятно, что навести такой порядок легко только на словах. На деле все иначе: непрерывно меняется среда операционной системы, меняется аппаратное окружение, сервисные программы. Отслеживать все изменения и обновления, фиксируя последовательность полных отображений состояний системы, невозможно в принципе.
Более того, характеристики прикладных программ (система, тип, версия, архитектура и т. п.) далеко не всегда очевидны. Обновления или заплатки (patches) вносят дополнительный хаос. (Об этом можно долго размышлять, вспоминая пакет Symantec Norton Doctor с его пакетом обновлений для Windows 98.) Иногда в таких заплатках имеются секретные лазейки внутрь пакета, оставленные самими разработчиками для каких-то частных целей.
В решении всех перечисленных проблем определенную помощь окажет администраторам разрабатываемая ныне система безопасного распространения программ (SSDS - Secure Software Distribution System). По сути, эта система сможет в автоматическом режиме проводить обследование, оценку состояния, обслуживание и обновление программ на множестве отдельных компьютерных систем из центрального управляющего центра. Кроме того, SSDS автоматически регулярно аутентифицирует программы, собирает данные об обновлениях и заплатках, которые были установлены самими пользователями, определяет их пригодность в конкретных условиях, устанавливает необходимые дополнительные компоненты и удаляет избыточные, оптимизирует звенья, виновные в излишней трате ресурсов, ведет сводную базу данных о технических характеристиках обслуживаемого комплекса.
SSDS включает два типа компонентов: сервер, расположенный на управляющем компьютере, и агенты, установленные на множестве контролируемых компьютеров. Сервер отслеживает все обновления и заплатки, которые проводит поставщик программных средств, и помещает записи обо всем этом в базу данных. Эта информация является эталонной по отношению к информации о реальном состоянии локальных компьютеров, включенных в сеть.
Сервер SSDS регулярно опрашивает агентские программы, проверяя реальное состояние локальных компьютеров, сверяет его с эталонными данными и делает выводы о том, что же за программы установлены на локальном компьютере.
SSDS обеспечивает поддержку любых вычислительных сред - как гомогенных, так и гетерогенных. К примеру, в ливерморских лабораториях - тысячи компьютеров разных архитектур, на которых установлены операционные системы разных типов. Все они будут под контролем нескольких компьютеров-администраторов, оснащенных серверами SSDS.
Подводя черту под перечислением и описанием средств, разработанных CSTC, замечу, что их могут совершенно свободно скачать с сайта... все органы Министерства энергетики и Министерства обороны США, а также их контрагенты.
Решения подвижны, как проблемы
Инструменты для отражения атак и защиты информации, как известно, не могут полностью защитить компьютеры и информационные системы. И так будет всегда, ибо в системах, обретающих все большую сложность, не могут не появляться новые прорехи - подвижные цели для новых атак.
Но нельзя же сидеть сложа руки. Правительство США увеличивает размеры инвестиций в разработки все более совершенных методов борьбы с червями. По словам Дуга Мансура из CSTC, "теплится надежда, что проблемы можно изолировать, а ситуацию обезопасить - даже для случаев, которые пока еще плохо разработаны".
P. S. Собирая материал для статьи, я нашел на сайте CIAC список компаний, ведущих базы данных по вирусам. Многие именитые в нем присутствуют: Symantec, McAfee, Cheyenne... С удовольствием сообщаю, что там уже есть ссылка и на сайт AVP Virus Encyclopedia - недавнее развитие проекта "Лаборатории Касперского".