БЕЗОПАСНОСТЬ

Ситуация в сфере компьютерной безопасности ухудшается с каждым годом. В ноябре 2005 г. некоммерческая организация SANS Institute, занимающаяся сертификацией в области информационной безопасности, опубликовала очередной список двадцати наиболее критичных ИТ-уязвимостей (список-20, www.sans.org/top20/), сформированный по результатам сканирования 32 млн. систем в нескольких десятках стран. Исследование поддержали министерство внутренней безопасности США и канадские и английские ведомства по защите национальных инфраструктур. Под критичными эксперты SANS понимают такие уязвимости, которые затрагивают большое число пользователей, позволяют злоумышленникам устанавливать дистанционный контроль над компьютером; "заплаты" для них пока не установлены на основной массе дефектных систем, а сведения об уязвимостях легко доступны в Сети.

Алан Паллер, директор SANS по исследованиям, назвал изменения, которые произошли в мировой системе компьютерной безопасности за последние 18 месяцев, возвратом в каменный век, на шесть лет назад, до выхода более-менее стабильных и защищенных версий массовых ОС. Говоря о двадцати упомянутых выше уязвимостях, он выделил две основные тенденции. Новая волна хакерских атак в 2005 г. впервые пришлась не на серверные Unix/Windows-решения, а на прикладные пакеты. Особо циничному взлому подверглись антивирусные продукты, межсетевые экраны, средства архивирования и восстановления данных. Вредоносный код, бродящий по правительственным сетям, отметил г-н Паллер, не раз копировал находимые в Сети документы и отсылал их неведомым пользователям.

В свое время разработчики сумели противостоять кибервандалам, встроив в ОС средства автоматической загрузки обновлений. Теперь аналогичный сервис ожидается и от поставщиков прикладного ПО, однако в силу огромного разнообразия программ на компьютере типичного пользователя это возможно будет лишь для небольшого перечня известных коммерческих приложений.

Второй тенденцией стало публичное раскрытие недоработок в сетевой аппаратуре (встроенных в них ОС), обеспечивающей функционирование Интернета.

Среди основных Windows-уязвимостей (5 из 20) - недоработки во всевозможных сетевых службах, которые могут быть по умолчанию включены, системных библиотеках, браузере, офисных и почтовых клиентах. Половина уязвимостей (10 из 20) относится к кроссплатформенным приложениям - СУБД, средствам архивирования, антивирусному ПО, PHP-сценариям, мультимедийным программам, средствам обмена мгновенными сообщениями, браузерам Mozilla и Firefox. По одной недоработке пришлось на Unix и Max OS X, и три уязвимости обнаружено в сетевом ПО - в решениях Cisco, Juniper, и CheckPoint/Symantec.

Главное же в том, что полностью изменился профиль злоумышленника: сегодня массово взламывают компьютерные системы уже не подростки, а организованные профессионалы, преследующие коммерческие и военные цели. Так, по оценкам Казначейства США, в 2004 г. доход от киберпреступности превысил доход от сбыта наркотиков, составив 105 млрд. долл., и продолжает расти, особенно за счет развивающихся стран, где активно внедряются новые ИТ и увеличивается разрыв между доступными техническими возможностями и культурным уровнем населения. Основной оборот приходится на корпоративный шпионаж, распространение порнографии, манипуляцию кредитными карточками, виртуальное вымогательство и компьютерное пиратство. Кроме того, ИТ стремительно проникают в смежные сферы, предоставляя, например, террористам и похитителям детей новые возможности связи и планирования действий.

Меры же противодействия всему этому пока принимаются косметические, кардинально ситуацию не улучшающие. Так, Пентагон планирует оборудовать средствами автоматической установки "заплат" полмиллиарда своих компьютеров, которые рано или поздно будут объединены высокоскоростной сетевой шиной Global Information Grid (уже сегодня хакеры испытывают ее на прочность сотни раз в сутки). Пока директива МО от 3 ноября обязывает каждого сотрудника установить на свой ПК средство выявления недоработок в ОС и незамедлительно инсталлировать патчи по их появлении, отложив все другие дела.

А как поставщики "заплат" узнают о появившейся недоработке? Как только на рынок выходит новый продукт или новая версия популярной ОС, тысячи хакеров и специалистов по информационной безопасности вступают в невидимую гонку по поиску в них ошибок. Но если последние делают это в рамках фиксированной зарплаты и заинтересованы обычно лишь в некотором повышении своего рейтинга среди коллег, то для злоумышленников, нередко одержимых нездоровым любопытством, это прежде всего огромные криминальные доходы. Кроме того, в хакерском сообществе имеется несколько десятков человек, обладающих уникальными способностями к вскрытию систем и способных изобретать новые методы взлома. Увы, реализовать такие способности цивилизованным способом затруднительно: компании крайне негативно относятся к извещению о недоработках в их продуктах и обычно не предпринимают никаких мер, пока не попадут в списки типа SANS Top 20. А подобные горе-специалисты подробно описывают изобретенные ими приемы хакинга и рассылают описания технологий виртуальным подпольным группам. Те создают на их основе утилиты для взлома, которые затем выкладываются в Сеть, где их скачивают и начинают бездумно применять тысячи морально незрелых личностей. Поэтому чаще всего недоработки становятся известны прежде всего злоумышленникам, и сколько времени подключенные к Сети компьютеры реально находятся в беззащитном состоянии, сказать трудно.

Тем временем грядет новая волна кибернападений. Эксперты SANS предупреждают, что в ближайшие пять лет большой объем атак злоумышленников придется на мобильные устройства, подключенные к Сети, - смартфоны и КПК. Обновление их ПО затруднено, так как ОС обычно жестко хранится в "прошивке" аппарата, да и в ограниченный объем флэш-памяти много "заплат" не установить. Самым массовым в этой криминальной сфере станет скорее всего воровство телефонного времени и использование трубок как "зомби"-машин для рассылки мобильного спама.

Впрочем, рядовые пользователи относятся к информационным угрозам, как к чему-то малореальному. Сложно поверить, что в моем ПК роется кто-то посторонний, если значок сетевого соединения вроде бы показывает отсутствие трафика, да и брандмауэр на первый взгляд спокоен. Не страшит и потеря нескольких минут мобильного разговора. Что же касается государственных структур, то критически важные системы в России к Интернету никогда и не подключались.

Коснутся ли нас западные киберужастики? На самом деле это может произойти в считанные месяцы.

Осенью 2005 г. Генеральной ассамблеей ООН была принята конвенция об использовании электронных сообщений в международных договорах (Convention on the Use of Electronic Communications in International Contracts). Подразумевается, что в ходе их заключения и исполнения можно будет официально использовать электронную почту и другие виды цифрового общения. Разрабатывалась эта конвенция Комиссией ООН по праву международной торговли UNCITRAL, причем соответствующие исследования велись еще с 1985 г. Страны - члены ООН могут подписать конвенцию начиная с 16 января 2006 г. Чтобы она заработала, необходимо участие в ней минимум трех государств.

За 20 лет UNCITRAL предложила немало вариантов использования электронных договоров в международной деятельности, но все они носили рекомендательный характер. Теперь же с помощью сертифицированных технологий электронной коммерции и ЭЦП юридические лица теоретически смогут официально вести всю деятельность в Сети. На практике же для этого потребуется ускоренная модификация ИТ-систем множества государственных структур. Но главное, что любая из организаций, включающаяся в данную систему, очевидно, должна будет связать элементы своей КИС с Сетью. Первыми на очереди в Интернет будут, скорее всего, таможенные структуры, а за ними последуют и другие поставщики продуктов и услуг на международный рынок: энергетики, связисты, транспортники. Какова степень безопасности ОС и прикладных пакетов, которыми они пользуются, наглядно видно из списка-20.

В связи с этим выглядит уже не первоапрельской шуткой недавнее решение Белоруссии разработать собственную надежную ОС, совместимую с Windows по внутренним интерфейсам, - в плане безопасности важен ведь не столько доступ к исходным текстам ОС, сколько постоянное взаимодействие с группой ее разработчиков. Интересно, что о готовности конкурировать с грядущим решением выступило белорусское представительство Microsoft.

Впрочем, наверняка можно обойтись и другими, менее кардинальными подходами - не клонированием Windows, а созданием решения, поддерживающего передовые архитектуры безопасности наподобие MILS. В его виртуальных разделах будут чувствовать себя в полной безопасности и .NET-приложение, и Li-nux-сервер, и американская Windows, и белорусская ОС.

Нужна только организационная воля.

С автором можно связаться по адресу: sbo@pcweek.ru.