Статья только в электронной версии журнала
БЕЗОПАСНОСТЬ
Недостаточная защищенность уже используемых беспроводных сетей, где вдруг обнаружился ряд серьезных брешей, захватила сетевых менеджеров врасплох. Но стоит ли удивляться? Ведь алгоритм WEP (Wired Equivalent Privacy - защита на уровне проводных каналов), входящий составной частью в стандарт беспроводных ЛВС 802.11, с самого начала был не столь уж безопасен по нынешним меркам.
Поражает другое: почему на выявление его слабых мест ушло так много времени? Сообщение о брешах в системе безопасности, сделанное исследователями Калифорнийского университета и фирмы Zero Knowledge System, высветило несовершенство процедур разработки этого алгоритма и его утверждения в качестве стандарта, а точнее, полное их отсутствие. Изучение всего процесса показало, что слабости WEP являются лишь отражением недостатков в методике разработки систем безопасности, которой пользуются производители подобных продуктов.
WEP можно было сделать гораздо надежнее. Чтобы убедиться в этом, достаточно зайти на узел www.isaac.cs.berkeley.edu/isaac/wep-faq.html, где подробнейшим образом описаны четыре типа сетевых атак. Немало поспособствовало бы повышению безопасности этого протокола и его более серьезное публичное обсуждение. А ведь до того, как WEP был принят в качестве стандарта, большинство специалистов практически ничего не знали о нем, - протокол сначала стал фактическим стандартом ряда производителей, включая Cisco, которые и вывели его в свет.
Такой “сборный” подход, конечно же, не мог не оставить незащищенных брешей. Управление ключами, скажем, здесь производится с помощью общих для всех точек беспроводного доступа криптоключей, хотя гораздо надежнее было бы применять индивидуальные ключи.
В международных организациях процесс стандартизации организован совершенно иначе. Он, возможно, и не слишком быстр, но обеспечивает принятие более совершенных спецификаций. Там мы видим настоящее обсуждение, а не попытки побыстрее отхватить свою долю рынка, опираясь на индивидуальную технологию какого-либо производителя.
Уже начаты работы над следующим алгоритмом, который должен заменить нынешний WEP, но опять же этим занимаются в основном фирмы-производители. А они стремятся не столько принять наилучшее из возможных решений, сколько удержать процесс стандартизации под своим контролем.
Дэвид Вагнер, один из ученых Калифорнийского университета в Беркли, объявивших о брешах в системе безопасности WEP, заявил: “Наши беспроводные сети, несомненно, гораздо более уязвимы, чем проводные. Возможно, лет через 10-20 разработчики беспроводных ЛВС и станут уделять должное внимание вопросам их безопасности, но пока здесь будут возникать все новые проблемы”.
Однако мы не можем ждать 10 или 20 лет, пока забота о безопасности станет неотъемлемой частью процесса разработки. Уже сегодня о защите информации нужно думать в ходе создания системы, а не после того, как работы над ней будут завершены. Мы просто обязаны сделать безопасность ключевым фактором построения всех элементов электронного бизнеса - приложений, протоколов, алгоритмов и операционных систем. Все они должны либо работать согласованно, либо не работать вообще.