4. Разрушить или обновить уязвимый домен.
Он особенно подчеркивает необходимость отключения контроля и уничтожения записей в контрольном журнале и получения информации о том, как часто система подвергается проверкам и как часто проводится анализ информации, хранящейся в контрольном журнале.
Хакерские инструменты позволяют автоматизировать множество процессов. Они действуют далеко не так эффективно, как виртуозный хакер, но они способны превратить несмышленого подростка в опасного противника.
Другой пример: атака против платежной системы, использующей смарт-карты. Первый шаг состоит в том, чтобы собрать всю информацию о платежной системе, которая может пригодиться: особенности ее построения, общедоступную документацию, сведения об используемых алгоритмах и протоколах и т. д. Возможно, вам удастся раздобыть массу информации, если вы знаете, где ее искать.
Шаг второй – изучить документацию, отыскивая слабое звено. Во второй части этой книги говорилось обо всех видах уязвимых мест, которые могут существовать в подобных системах. Уязвимыми могут быть алгоритмы и протоколы шифрования. Возможно, уязвимая точка скрывается в самой смарт-карте, из-за того, что система сопротивления вторжению не действует как предполагалось. Может быть, существует изъян в способах их использования – если его удастся обнаружить, это поможет достичь цели. Вам нужно найти все уязвимые точки, для того чтобы успешно атаковать систему.
На третьем шаге необходимо получить уровень доступа, необходимый для проведения атаки. Вы должны стать зарегистрированным пользователем этой платежной системы (возможно, под вымышленным именем). Вероятно, вам придется украсть чью-либо карту. Может быть, вам необходимо будет вступить в сговор с продавцом, который принимает смарт-карты в качестве платежного средства. Получение доступа – не всегда легкое мероприятие.
Четвертый шаг – выполнение атаки: размножить смарт-карту и использовать ее дубликаты, изменять содержимое памяти смарт-карты и пользоваться этим при совершении покупок, изменять баланс и требовать оплаты наличными – все, что вам удастся осуществить. Для выполнения последнего пункта вам недостаточно взломать систему смарт-карт, вы должны перевести все добытое с помощью взлома в наличные деньги.
Шаг пятый – заметание следов. Возможно, вы захотите ликвидировать все физические доказательства вашего нападения. Если оборудование, которым вы пользовались для осуществления атаки, находилось у вас дома, вы его уберете оттуда. Если доказательства вашего нападения остались в компьютерных файлах, вы их удалите. Может быть, вам удастся взломать компьютеры платежной системы и уничтожить записи, представляющие для вас опасность. Все что угодно, лишь бы замести следы.
В некоторых атаках присутствуют не все описанные этапы. Нападения ради огласки часто не включают в себя шаги 2, 3 или 5. Приведем в качестве примера атаку против алгоритма шифрования, использующегося в цифровых сотовых телефонах. Шаг 1 – получение информации об алгоритмах шифрования, применяющихся в сотовых телефонах. Шаги 2 и 3 пропускаются. (Цель известна и весь доступ, который вам нужен, – это описания алгоритмов.) Шаг 4 – выполнение криптографического анализа и сообщение об этом средствам массовой информации. Шаг 5 не выполняется – вы ничего не делали нелегально. Такая атака потенциально успешна против любого алгоритма шифрования данных для цифровой сотовой связи.
В этой книге я на многих примерах постарался показать, что безопасность – это цепь, и надежность системы определяется прочностью самого слабого ее звена. Уязвимые точки как раз и представляют собой такие слабые звенья. Нахождение слабых мест в системе – это только первый шаг к их использованию. Не менее важно получить доступ к обнаруженной уязвимости, суметь реально использовать ее для совершения определенных действий и затем благополучно скрыться – без этого не бывает успешных нападений.
Меры противодействия существуют для того, чтобы защитить уязвимые точки. Они могут быть простыми, наподобие постройки стены вокруг города, чтобы вражеская армия не смогла в него проникнуть, или сложными, такими как создание надежной системы проверки для обнаружения попыток мошенничества среди продавцов кредитных карт и установления личности преступников.
Обычно меры противодействия применимы для разрушения атаки на любом из пяти этапов ее проведения.
Большая часть обсуждавшихся во второй части технических мер противодействия применяется в компьютерах и компьютерных сетях. Я пытался обрисовать ситуацию в целом: как работают различные средства и методы или почему они не работают, каким образом они соотносятся друг с другом и т. д. Ни одна технология в области безопасности не должна рассматриваться как панацея: результат достигается, когда каждая из них используется эффективно.
Надежность системы всегда определяется ее самым слабым звеном, и это, вообще говоря, заставляет нас обратиться к рассмотрению отдельных технологий. В умело построенной системе эти технологии не лежат на поверхности, в конечном счете безопасность системы определяется их взаимодействием. Криптографические методы могут быть разрушены с помощью лобовой атаки или криптоанализа алгоритма. Можно также воспользоваться невнимательностью сотрудника и раздобыть пароль. Но замок на двери помещения, в котором находится компьютер, или хорошо сконфигурированный брандмауэр обеспечит защиту на другом уровне.
Помните начало В поисках утраченной радуги (Raiders of the Lost Arc)? Индиана Джонс должен был пройти через пауков, ловушки с шипами, ямы, отравленные стрелы, внезапно вылетающие, если наступишь не на тот камень, и саморазрушающееся устройство, срабатывающее при движении статуи. Это многоуровневая защита. Он преодолел ловушку с шипами, не затронув пусковой механизм, но он еще должен был увернуться от надвигающейся стены, остановить механизм и сделать массу других вещей. Самый легкий способ избежать ловушки определяет ее эффективность.
Так же как нападение на систему представляет собой нечто более сложное, чем просто нахождение уязвимых мест, защита системы более сложна, чем выбор мер противодействия. Эффективная система таких мер покоится на трех составляющих:
• защита;
• обнаружение;
• реагирование.
В офисе военной организации служебные документы хранятся в сейфе. Сейф обеспечивает защиту от возможного проникновения, но той же цели служит сигнализация и охрана. Предположим, что нападающий – посторонний человек: он не работает в офисе. Если он попытается украсть документы из сейфа, он должен не только взломать сейф, ему нужно еще отключить сигнализацию и суметь пройти мимо охраны. Сейф с замком – это меры защиты, сигнализация – способ обнаружения вторжения, охрана обеспечивает реагирование.
Если охрана обходит офис через каждые пятнадцать минут, то сейф должен противостоять атакующему в течение пятнадцати минут. Если сейф находится в офисе, персонал которого присутствует только в рабочие часы, он обязан обладать способностью выдержать атаку в течение шестнадцати часов: от пяти часов пополудни до девяти утра следующего дня (и намного дольше, если офис закрыт в выходные дни). Если сейф снабжен сигнализацией, и как только кто-нибудь дотронется до него, сразу прибудет охрана, тогда он должен выдерживать атаку только в течение того времени, которое потребуется ей, чтобы добраться до места происшествия и принять меры.
Все сказанное означает, что надежность сейфа основывается на механизмах обнаружения и реагирования на месте. И сейфы классифицируются по этому признаку. Одному сейфу может быть присвоена классификация TL-15: это означает, что он способен противостоять профессиональному взломщику с инструментами в течение 15 минут. Другой сейф может быть отнесен к разряду TRTL-60, что будет означать, что ему по плечу сопротивляться такому же взломщику, да еще вооруженному паяльной лампой с подачей кислорода, 60 минут. Это оценки чистого времени атаки: время идет, только когда сейф подвергается нападению, – время, затраченное на планирование и подготовку, не учитывается. И тесты проводятся профессионалами, имеющими доступ к чертежам сейфа: нельзя рассчитывать на недостаток информации у нападающего. (Много общего с криптографическими атаками, не правда ли?)
Меры защиты, обнаружения и реагирования работают совместно. Сильный механизм защиты подразумевает, что вы не нуждаетесь в столь же действенных механизмах обнаружения и реагирования.
Классификация сейфов демонстрирует это ясно. Какой сейф вы купите: рассчитанный на 15 минут, на 30 минут, на 24 часа? Это будет зависеть от того, в течение какого времени сработает сигнализация (обнаружение) и прибудет охрана, чтобы арестовать взломщиков (реагирование). В отсутствие систем обнаружения и реагирования в действительности все равно, какой сейф вы выберете.
Большинство мер компьютерной безопасности носят профилактический характер: криптография, брандмауэры, пароли. Некоторые можно отнести к механизму обнаружения, как системы обнаружения вторжения. Реже встречаются механизмы реагирования: например, система ввода регистрационного имени и пароля, которая блокируется после трех неудачных попыток – хотя механизмы обнаружения бесполезны без механизмов реагирования. Представьте себе систему обнаружения вторжения, которая только регистрирует атаку. Она подаст сигнал системному администратору, может быть, пошлет сообщение по электронной почте на его пейджер. Если администратор не отвечает в течение нескольких часов – допустим, он обедает, – тогда не имеет значения, что нападение было обнаружено. Не было предпринято никаких мер, чтобы решить проблему.
Обычная охранная сигнализация также является средством обнаружения. Когда она срабатывает, дальнейшее развитие событий зависит от того, есть ли кому реагировать на нее. Если взломщик знает, что на сигнал тревоги никто не обратит внимания, это то же самое, как если бы сигнализации не было вовсе.