ВЗГЛЯД НА INTERNET
Три года назад в конце января начал действовать узел PC Week Online. И хотя я порой с нежностью вспоминаю те первые месяцы, когда он заработал на Linux-сервере рядом с моим кабинетом, но о чем я определенно не жалею - так это о волнениях по поводу безопасности.
Поначалу я учился управлять не только Internet-сервером, но и системой Unix. Как легко предположить, безопасность в результате оказалась на грани катастрофы. Буквально все Internet-службы выполнялись в режиме root (супервизор), так что целые блоки файловой системы оставались безо всякой защиты. Десятки учетных записей не использовались и легко могли быть вскрыты, поскольку были названы именами моих детей.
Неведение блаженно, и я ни о чем не беспокоился, пока администраторы сети не узнали о заряженном ружье, которым я беззаботно размахивал внутри корпоративного брандмауэра. Они стали посылать мне сообщения о различных проблемах безопасности в Linux, и, забывая о времени, я срочно устанавливал на систему “заплатки”. Я начал читать жуткие книжки о безопасности Unix и Internet, что привело к ночным кошмарам.
В конце концов - как раз перед тем, как передать PC Week Online компетентным профессионалам, - я стал понемногу соображать, как свести к минимуму риск для Web-узла и корпоративной сети. Например, на сервере должны быть лишь необходимые сетевые службы и учетные записи пользователей, нужно периодически проверять файловую систему на наличие изменений и внимательно следить за собственным системным журналом и за помещаемой в Internet информацией о безопасности.
Сейчас все эти советы хорошо описаны, например, в пособии WWW Security FAQ (www-genome.wi.mit.edu/ WWW/faqs/www-security-faq.html), но, похоже, все еще нуждаются в повторении. Несмотря на многие годы интенсивного обсуждения вопросов безопасности и изобилие информации в Internet, проведенное в декабре прошлого года исследование более 2000 известных узлов Internet ( http://www.trouble.org/survey/ ) показало, что у двух третей из них имеются серьезные пробелы в системе безопасности.
Автор исследования Дэн Фармер с помощью созданной им утилиты SATAN (Security Administrator Tool for Analyzing Networks - Утилита менеджера по безопасности для анализа сетей) изучил “заметные” узлы, например те, которые принадлежат банкам, федеральным ведомствам и коммерческим предприятиям. В результатах Фармера сильнее всего поражает то, что SATAN находит лишь самые известные пробелы в безопасности, сущность и способы исправления которых описаны много лет назад. SATAN и была задумана для того, чтобы напоминать об этих проблемах и заставить людей их решить. Похоже, из этого ничего не вышло.
Эта неудача проявилась в реакции на исследование Фармера - большинство предпочло “спрятать голову в песок”. В основном обсуждалась дерзость Фармера, который изобрел инструмент, способный легко найти проблемы - безо всякой помощи людей, отвечающих за узел.
Отчасти я могу понять чувства тех, кто выступает против распространения сведений о проблемах до появления подходящих решений. Однако я предпочел бы знать, что другие предпринимают по поводу уязвимых мест моих серверов.
Конечно, такие утилиты, как SATAN, и такие исследования, как проведенное Фармером, вызывают определенные опасения. Но они также дают информацию, которую надо приветствовать и использовать.
Имонн Салливан
Когда информации о дырах в системе безопасности становится слишком много? Переходим ли мы эту границу? Сообщите мне по адресу: esullivan@zd.com.
Неведение блаженно. Мне ни разу не пришло в голову побеспокоиться
