Сегодня очень многие предприятия используют в повседневной деятельности средства пространственного анализа. И это не только военные ведомства и исследовательские институты. Такие средства применяются в арсенале и небольших компаний, например развозящих пиццу и прокладывающих на карте оптимальные маршруты. Нельзя обойтись без карт в гидрографии и метеорологии. Когда мы смотрим прогноз погоды на ближайшее время, мы также обращаемся к картам. Зафиксированы многочисленные случаи использования ГИС в маркетинге, где с помощью карт можно анализировать распределение различных параметров, в частности, клиентов с определенным уровнем дохода, точек установки телекоммуникационных устройств и т. д. В последние годы геоинформационные системы вышли и в Интернет.
Интерес к ГИС растет как на дрожжах. И не только на Западе. Многие российские компании также ведут активную деятельность на этом рынке. Однако если внимательно приглядеться к тематике геоинформационных конференций и печатных изданий, то можно убедиться, что вопросам безопасности в них не уделяется никакого внимания. Лишний раз это подтвердилось на последней конференции “ГИС и Интернет” 5-7 декабря 2000 г., проведенной ГИС-Ассоциацией, где эта тема так и не была раскрыта в должной форме.
Итак, рассмотрим схему построения ГИС с выходом в Интернет. Она достаточно типична и состоит из нескольких элементов:
1) Web-сервер, представляющий картографическую информацию (так называемый Geb-сервер);
2) сервер баз данных, содержащий всю картографическую информацию и передающий ее на Geb-сервер;
3) ПО, осуществляющее взаимодействие между Geb-сервером и сервером баз данных.
Клиент, желающий просмотреть ту или иную карту, обращается к Geb-серверу при помощи обычного браузера Microsoft Internet Explorer или Netscape Communicator.
Перечислим основные угрозы, которые подстерегают компанию, использующую ГИС.
1. Подмена страницы Geb-сервера. Основной способ реализации этой угрозы - переадресация запросов пользователя на другой сервер. Делается это путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Наибольшей опасности данная угроза достигает, когда заказчик вводит аутентифицирующую его информацию для доступа к защищенным разделам Geb-сервера.
2. Создание ложной картографической информации. Проникновение в базу данных и изменение процедур обработки пространственных данных позволяет как внешним, так и внутренним злоумышленникам осуществлять различные несанкционированные манипуляции с базой данных. Особенно если учесть, что, по статистике, больше половины всех компьютерных инцидентов связано с собственными сотрудниками. К чему это может привести, хорошо показано в фильме “Пятнадцатилетний капитан”, когда топор, помещенный под компас, изменил курс китобойной шхуны и она вместо Америки попала в Африку.
3. Перехват данных, передаваемых между различными элементами ГИС.
4. Проникновение во внутреннюю сеть компании, реализующей услуги ГИС, и компрометация не только картографической информации.
5. Реализация атак типа “отказ в обслуживании” (denial of service) и нарушение функционирования или выведение из строя ГИС-сервера.
В результате всех этих угроз компания - провайдер ГИС-услуг теряет доверие клиентов и возможную прибыль от потенциальных, но не совершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие конфиденциальной информации. В случае реализации атак типа “отказ в обслуживании” нарушается функционирование Geb-сервера, на восстановление работоспособности которого будут затрачены как людские и временные, так и материальные ресурсы.
Третья описанная угроза (перехват данных) не зависит от используемого программного и аппаратного обеспечения и присуща любым системам, функционирующим в Интернете, не только ГИС. Это связано с незащищенностью текущей версии протокола IP (v4). Обезопасить данные в этом случае может только использование криптографических средств или переход на новую, шестую, версию протокола IP. Но оба способа имеют недостатки. В первом случае применение криптографических средств должно быть лицензировано в соответствующем российском ведомстве, во втором возникают чисто организационные трудности, которые на данный момент неразрешимы. Одним из путей решения этой проблемы является встраивание отечественных криптографических средств, реализующих стойкие криптографические преобразования, в ПО не только Geb-сервера, но и, что самое главное, клиента. На сегодняшний день это можно осуществить двумя путями. Первый - использование “слабой” криптографии, уже встроенной в программное обеспечение клиента (MS Internet Explorer или Netscape Communicator). Второй путь - применение собственного клиентского ПО. Первый способ самый простой, но с точки зрения безопасности самый неэффективный. Второй способ обеспечивает более высокий уровень защищенности, но является узкоспециализированным. Один из вариантов промежуточного решения, объединяющего высокую криптостойкость и широкую функциональность - криптопровайдер, предлагаемый НИП “Информзащита” и компанией “Крипто-Про”. Этот криптопровайдер (Cryptographic Service Provider) встраивается в ОС Windows и может быть использован в любом из продуктов, функционирующих под управлением этой ОС (MS Outlook, Internet Explorer, SQL Server), наравне с “родным” криптопровайдером компании Microsoft.
Обратимся к другим угрозам. Их можно разделить на две категории. Первая связана с нарушением доступности узлов ГИС, вторая - с неправильной конфигурацией и настройкой программного и аппаратного обеспечения компонентов ГИС.
Проблема доступности Интернет-серверов была у всех на слуху в первой декаде февраля 2000 г., особенно после нарушения 7 и 8 февраля 2000 г. функционирования таких популярных серверов, как Yahoo! eBay, Amazon, Buy и CNN. 9 февраля аналогичная участь постигла серверы ZDNet, Datek и E*Trade. Проведенное ФБР расследование показало: указанные серверы вышли из строя из-за огромного числа направленных им запросов, приведших к тому, что эти серверы не могли обработать трафик такого объема. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, в 8 раз - максимально допустимую нагрузку на серверы, поддерживающие работоспособность Buy, и достиг отметки 800 Мбит/с. По разным оценкам, нанесенный ущерб составил от 1,5 до 6 млрд. долл. И это всего за три часа простоя!
Все это подтверждает необходимость комплексного подхода к обеспечению безопасности. Однако на практике защита у новоявленных российских Amazon’ов и других Интернет-компаний явно недостаточна. Она ограничивается использованием криптографических механизмов (в частности, 40-битной версии протокола SSL) для защиты передаваемой информации между браузером клиента и Web-сервером электронного магазина и включением фильтрации на маршрутизаторе. Достаточно ли этого? Как показывает опыт, - нет.
Комплексная система защиты информации должна строиться с учетом четырех уровней любой информационной системы, в том числе и геоинформационной:
1) уровень прикладного программного обеспечения, отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор MS Word, редактор электронных таблиц Excel, почтовую программу Outlook, браузер Internet Explorer и т. д.;
2) уровень системы управления базами данных, отвечающий за хранение и обработку данных (СУБД Oracle, MS SQL Server, Sybase и даже MS Access);
3) уровень операционной системы, отвечающий за обслуживание СУБД и прикладного ПО (ОС Microsoft Windows NT, Sun Solaris, Novell Netware);
4) уровень сети, отвечающий за взаимодействие узлов информационной системы (протоколы TCP/IP, IPS/SPX и SMB/NetBIOS).
Система защиты должна эффективно функционировать на всех этих уровнях, иначе злоумышленник сможет реализовать ту или иную атаку на геоинформационные ресурсы. Так, для получения несанкционированного доступа к информации о координатах в пространственной базе данных злоумышленники могут попытаться:
- прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов (уровень прикладного ПО);
- прочитать нужные данные средствами самой СУБД (уровень СУБД);
- прочитать файлы базы данных непосредственно на уровне ОС;
- отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД или перехватить эти данные в процессе их передачи по каналам связи (уровень сети).
Этот пример лишний раз подтверждает тезис о необходимости построения комплексной системы защиты, эффективно работающей на всех уровнях. Однако, как показывает опыт, основное внимание уделяется только двум нижним уровням - уровню сети и операционной системы. В первом случае применяются маршрутизаторы и межсетевые экраны, во втором - встроенные средства разграничения доступа. Достаточно ли этих средств? Явно нет. И вот почему.
Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных электронного магазина. Сделать это не так сложно. Можно перехватить их в процессе передачи по сети или подобрать при помощи специальных программ, свободно распространяемых в Интернете. Далее все идет как по маслу. И межсетевой экран, и ОС пропускают злоумышленника ко всем ресурсам, потому что им были предъявлены идентификатор и пароль авторизованного пользователя. И это не недостаток реализованных механизмов, просто особенность их функционирования, с которой ничего нельзя поделать. Нужны новые средства и способы защиты. Один из таких способов - обнаружение атак (intrusion detection), уже неоднократно описанный в PC Week/RE. Средствам обнаружения атак в настоящее время уделяется очень много внимания во всем мире. По прогнозам компании IDC, объемы их продаж возрастут с 58 млн. долл. в 1997 г. до 977,9 млн. долл. в 2003 г. Эти средства одинаково эффективны как внутри сети, защищая от внутренних злоумышленников, так и снаружи, защищая от внешних несанкционированных воздействий. Они позволяют своевременно обнаруживать и блокировать сетевые атаки типа “отказ в обслуживании”, направленные на нарушение работоспособности Geb-сервера. Одним из ярких примеров подобных средств можно назвать систему RealSecure фирмы Internet Security Systems, которая, согласно упоминавшемуся отчету компании IDC, захватила 52,8% рынка средств обнаружения атак.
А собственно, почему злоумышленник смог получить пароль и идентификатор пользователя, спросите вы. Да потому, что любое ПО имеет определенные уязвимые места, которые приводят к реализации атак. Это могут быть как проблемы, появившиеся в результате проектирования ГИС (например, отсутствие средств защиты), так и недостатки реализации и конфигурации. Последние два типа - самые распространенные и встречаются в любой организации. Вот только несколько примеров. Ошибка переполнения буфера (buffer overflow) в браузерах Microsoft и Netscape, ошибка реализации демона IMAP и почтовой программы sendmail, использование пустых паролей и паролей длиной менее шести символов, запущенные, но не используемые сервисы, в частности Telnet. Все это может привести как к сбою работы ГИС-узлов, так и к нарушению конфиденциальности и целостности обрабатываемой ими информации.
Логично предположить: для предотвращения атак необходимо своевременно обнаружить и устранить бреши в информационной системе, причем на всех четырех ее уровнях. Помочь в этом могут средства анализа защищенности (security assessment systems) или сканеры безопасности (security scanners), способные обнаружить и устранить тысячи потенциальных брешей на десятках и сотнях узлов, в том числе и удаленных на значительные расстояния. И в этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite, содержащим не только названную систему RealSecure, но и четыре системы поиска уязвимых мест, работающие на всех четырех уровнях ИС - Internet Scanner, System Scanner, Database Scanner и Online Scanner.
Совокупность применения различных средств защиты на всех уровнях ГИС позволит построить эффективную и надежную систему обеспечения информационной безопасности геоинформационной системы. Такая система будет стоять на страже интересов и пользователей, и сотрудников компании - провайдера ГИС-услуг. Она дает возможность снизить, а во многих случаях и полностью предотвратить возможный ущерб от атак на компоненты и ресурсы системы обработки картографической информации.
Алексей Викторович Лукацкий - заместитель технического директора Научно-инженерного предприятия “Информзащита” (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании CheckPoint Technologies. С ним можно связаться по телефону: (095) 289-8998 или по e-mail: luka@infosec.ru.