This page is an archived copy on Gagin.ru personal site

InterNet magazine, number 26

Тимур Хайруллин

Памяти Штирлица посвящается

Еще пять лет назад антивирусные программы можно было обновлять не раз в неделю, а раз в полгода, и простой пользователь, услышав слова «безопасность данных», вполне мог подумать, что речь идет о запрете на складывание флоппи-диска вчетверо. С тех пор человек, сидящий за компьютером, стал взрослее и циничнее. Он уже не открывает приаттаченные к письмам картинки с вирусами (или открывает, но через одну). Но человеческую безалаберность излечить не так-то просто: юзеры, наклеивающие бумажки с паролями на мониторы, были и будут всегда.

Ничто в мире не совершенно, в том числе и человечество. Во все времена находилось достаточное количество желающих поживиться за чужой счет — или как минимум попробовать поживиться, а может, и просто развлечься, не задумываясь о последствиях для окружающих. В этом процессе обычно идут в ход любые средства, какие только возможно использовать для собственного обогащения путем обворовывания ближнего своего. Интернет, только лишь появившись, практически сразу стал излюбленным оружием в руках сетевых хулиганов и нечистых на руку дельцов, не говоря уже о злобных хакерах, ворующих деньги у добропорядочных граждан. Сколько было шумных историй о взломах военных серверов НАТО, практически безобидных, но запоминающихся подмен страниц на популярных ресурсах! Кевин Митник стал одним из наиболее популярных сетевых персонажей, культовой фигурой для поколений хакеров лишь из-за того, что в подходящее время и в подходящем месте совершил парочку мелких пакостей, обернувшихся чуть ли не всемирным скандалом. Огромный резонанс имеют легенды о совершаемых через интернет поддельных переводах денег со счетов крупных банков. Кстати, подавляющее большинство подобных инцидентов не выходит за информационную границу пострадавшей компании — в курсе оказывается разве что контора, занимающаяся экспертизой и консалтингом по вопросам сетевой безопасности. И то хвала Аллаху — значит, у понесшей убытки стороны хватило ума обратиться к профессионалам, а не пытаться залатать дыры силами собственных сотрудников, попутно вешая клиентам на уши лапшу о неблагоприятной геомагнитной обстановке или роковом расположении звезд. Поэтому реальная статистика убытков и неприятностей, причиненных частному бизнесу со стороны интернетовских врагов, практически не поддается анализу и исчислению и доступна разве что узкому кругу специализирующихся на этом экспертов. Уровень латентности преступлений в области информатики намного превышает сходные показатели по «обыкновенным», к примеру, ограблениям: признание факта взлома отрицательно влияет на имидж злостчастной компании; с другой стороны, хак скрыть куда как легче, чем вооруженный налет.

Проблемам сетевой безопасности, равно как и урокам хакерского мастерства, посвящено огромное количество разнообразных материалов. Практически ежедневно выходят заметки, сообщающие об уязвимых местах различных программных продуктов и операционных систем. Множество специальных списков рассылки, веб-серверов и юзнетовских конференций создано с целью немедленно информировать специалистов по обе стороны баррикад о новых возможностях сетевых атак или способах получить привилегии там, где их получать не положено. Даже у главного строительного материала интернета — специализированных роутеров — время от времени находят недостатки, ошибки и недоработки, в перспективе дающие злоумышленникам возможность творить с ними всяческие непотребства. Некоторые дыры производителям программного обеспечения приходится заштопывать исходя из горького опыта, после того как хнычущие (или разгневанные — зависит от масштабов неприятностей и темперамента) пользователи демонстрируют плачевные результаты работы хакеров. Особенно крепко дурная слава закрепилась за Microsoft: «третий постфикс к четвертому фикспаку» для якобы вдоль и поперек отвечающей требованиям защищенности Windows NT стал привычным объектом насмешек как со стороны взломщиков, так и со стороны специалистов по информационной безопасности. Всемирная гонка информационных вооружений заставляет все чаще вспоминать принцип, гласящий, что на каждый закоулок находится свой болтик с резьбой на 16. Огромные средства вкладываются мировой экономикой в разработку новых технологий защиты, а цены на программные и аппаратные сетевые экраны упорно держатся на практически недосягаемом для среднего российского потребителя уровне.

Однако при обсуждении технических и технологических вопросов информационной безопасности нередко забывают о неочевидных на первый взгляд аспектах, не относящихся напрямую к хакерскому мастерству или сетевому администрированию. Речь в данном случае идет о нетрадиционных с точки зрения компьютерного мира методах получения или изменения необходимых злоумышленнику данных, а именно — о способах, которыми пользовались еще прадедушки современных хакеров.

Почти каждому сетевому администратору, работающему в некомпьютерной по профилю деятельности организации, знакомы клейкие бумажки ядовитых расцветок — stick-notes. Они будто специально созданы для того, чтобы беспечные пользователи записывали на них свои пароли и приклеивали их на монитор. Сколько сил и нервов потрачено специалистами отделов автоматизации на то, чтобы отучить своих подопечных от этой вредной привычки, какие только ухищрения и угрозы не изобретались строгими начальниками. Однако и по сию пору в некоторых банках, — правда, рискуя заработать косоглазие, — можно разглядеть таинственные сочетания символов: секрет, тщательно охраняемый сетевым оборудованием и программным обеспечением.

А что представляет собой рабочий стол самого сетевого администратора? Конечно, полуразобранный компьютер, куча винтиков и полумертвых плат, разбросанные там и сям старые дискеты, компакт-диски и руководства, стопки книг и клочки разных бумажек — черновики. На этих черновиках, как правило, представляющих собой результаты чьих-то неудавшихся попыток напечатать важный документ (принтер заело), со всех сторон и во всех направлениях записана различная абракадабра: от адресов порнушных серверов до списка проштрафившихся пользователей. Собираясь в столовую, админ не глядя выдергивает из кучи подходящий по размеру листок, дабы завернуть в него пирожок. После употребления пирожка за вечерней игрой в старкрафт листок отправляется в мусорную корзину. А бдительная уборщица тетя Маша рано утром позаботится о том, чтобы листок оказался на помойке вместе с остальным мусором. То есть — попал в руки любому желающему покопаться в куче мусора ради того, чтобы добыть пароль пользователя, которого админ заводил по телефонному звонку, записывая его реквизиты на бумажку. Последствия — в зависимости от фантазии.

Хотя, наверное, чем рыться в груде мусора, проще поставить дворнику поллитра в обмен на обещание передавать всю подобную корреспонденцию в соответствующие руки. Или, к примеру, вручить несколько тысяч долларов сотруднику, чтобы тот прошелся и переписал пароли пользователей, подглядывая из-за плеча. Вопрос только в размахе замышляемого негодяйства; если разница между затратами на поллитру и размерами ожидаемой прибыли невелика, дешевле обойдется порыться в мусоре самостоятельно. Случай из жизни: в некоем банке практически всем сотрудникам запретили пользоваться электронной почтой, а корреспонденцию оставшихся тщательно протоколировали на случай возможных разбирательств — а вдруг понадобится. Мотивация, помимо негласной попытки бороться с рассылками anekdot.ru, была следующей: чтобы не отослали кому-нибудь важные финансовые сведения. При этом никому не пришло в голову, что любой сотрудник мог спокойно скопировать хоть всю финансовую историю клиента на дискету, положить ее в карман и вечером, добираясь с работы домой, в троллейбусе передать ее кому надо.

Еще один типичный случай: звонок пользователю интернета.
— Вы такой-то и такой-то?
— Да.
— Добрый вечер. Вас беспокоят из службы поддержки пользователей вашего провайдера такого-то. В результате сбоя системы у нас нарушилась целостность данных, поэтому мы вынуждены сменить вам пароль. Примите наши извинения.
— Какой кошмар!.. Ну ладно, ничего, я записываю...
— Минуточку. Ваш логин такой-то?
— Да...
— Какой у вас был пароль?
— gs93js0cmg90
— Да-да, вижу... (сопение, стук клавиш) Теперь ваш пароль meo67snm6j20.
— Хорошо, я записал, спаси...
Короткие гудки в трубке.

Понятное дело, что после энной безуспешной попытки соединиться с провайдером, используя новый пароль, пользователь, раскопав в бумажках телефон службы поддержки, звонит туда и объясняет, что с новым паролем ничего не работает. На том конце провода разводят руками: какой новый пароль, мы ничего не меняли, после чего, повесив трубку, хихикают и крутят пальцем у виска. Хорошо еще, что это оказалось розыгрышем приятеля несчастного пользователя, но если абстрагироваться от данных конкретных условий, то очевидно, что ситуация имеет непосредственное отношение к сохранности кошелька доверчивого гражданина. Конечно, возможно, что все произойдет с точностью до наоборот: пользователь звонит в службу поддержки и долго хнычет, что, мол, переставил винды, логин у него такой-то, а вот пароль не помнит, да и бумажку, на которой он был записан, давно посеял. Есть далеко не нулевой шанс, что пароль ему сменят — просто чтобы отвязался. А реальный владелец счета обнаружит, во-первых, что его пароль неактуален, а во-вторых, что на его балансе образовалась здоровенная сумма с минусом слева.

В более продвинутых случаях, когда речь идет о крупных взломах, может использоваться — в довесок к копанию в мусоре и прочим хитрым методам — сложная аппаратура, составляющая арсенал современного шпиона. Из соседнего здания с помощью мощной подзорной трубы со стабилизатором можно запросто прочитать все, что отображается на экране; нужно только дождаться момента, когда там появится необходимая информация. По вибрации оконных стекол современные приборы могут воссоздать содержание разговора, который слышен в комнате: админ заучивает наизусть новый рутовый пароль. Получив таким образом ключевую информацию, далее можно воспользоваться всеми хакерскими средствами, которые будут необходимы. По мере развития технологии подобные методы станут более доступными и, безусловно, будут применяться все шире.

Однако для борьбы со шпионской деятельностью нужно применять соответствующие меры, и в данном случае главную роль будет играть служба безопасности, на которой лежит непосредственная ответственность за утечки информации подобного рода. Тем не менее вышеописанный пример служит прекрасной иллюстрацией необходимости построения комплексной защиты данных. Совершенно бессмысленно тратить много денег на продвинутые файрволы, когда серверная комната учреждения представляет собой проходной двор.

Системный подход в деле обеспечения информационной безопасности обязателен не только для организаций, имеющих дело с компьютерами и сетями, но и для каждого пользователя интернета. Рядовой юзер, заинтересованный в том, чтобы защитить свои интересы и свой кошелек, не должен ограничиваться техническими действиями вроде установки к себе на компьютер Nuke Nabber — стоит позаботиться и об элементарной физической сохранности своих данных. Руководствоваться здесь в первую очередь следует здравым смыслом и теми же принципами, что и в реальной жизни: избегать случайных связей, не болтать лишнего, не посылать крупные суммы денег в надорванном конвертике, уповая на честность почтовой службы, помнить, что сыр бесплатен чаще всего в мышеловке и так далее.

Организация же, планируя сеть и подключения к ней, должна в первую очередь разработать политику, учитывающую взаимоотношения информационных потоков, не связанных с сетевыми приложениями, с потоками данных. Согласование системы общей информационной безопасности и системы технической охраны данных должно происходить на этапе проектирования сети, причем в первую очередь необходимо разработать четкую, логичную структуру, а также озаботиться созданием инструкций и формулировкой штатных действий персонала, связанного непосредственно с технологическим процессом обработки данных. Не стоит забывать об уничтожителях бумаг. Не лишними окажутся разграничение доступа в помещения, система идентификации «свой-чужой», проверка отказоустойчивости систем в экстренных случаях (отключение электропитания, пожар, потоп). Кроме того, должна быть выстроена четкая политика разграничения прав доступа к данным для различных групп пользователей. И это только часть проблем, с которыми приходится сталкиваться специалисту при разработке общей концепции безопасности организации.

Существуют компании, специализирующиеся на экспертизе, реконструкции и построении систем информационной защиты. Правда, их услуги стоят недешево, но последствия неправильного подхода к комплексу мер безопасности могут обойтись еще дороже. Однако большинство работающих на рынке компаний, чей технологический процесс требует применения сетевых технологий, как правило, не обращаются к специалистам, предпочитая делать все самостоятельно. Можно надеяться, что с ростом культуры ведения бизнеса руководители станут все чаще прибегать к услугам экспертов, в том числе и по информационной безопасности, и перестанут существовать по принципу «пока не клюнет жареный петух».

А покамест у операционистки в уважаемом и крупном банке прилеплен к монитору ядовито-желтый квадратик, на котором нацарапана абракадабра, никак не умещающаяся в ее хорошенькой головке, и не составит труда, строя ей глазки, мимоходом прочитать, что именно там написано.


В оглавление номера This page is an archived copy on Gagin.ru personal site