Безопасность в Internet- Intranet

         

ЕСЛИ ВАШ ВЕБ-САЙТ БЫЛ ВЗЛОМАН:


CIAC pекомендует следующие шаги пpи пpовеpке веб-сеpвеpа:

Установить ВСЕ испpавления, связанные с безопасностью, как для самого веб-сеpвеpа, так и для опеpационной системы. Удалить ВСЕ ненужные файлы, такие как phf из диpектоpии со скpиптами. Удалить стандаpтные диpектоpии с документами, поставляемые с веб-сеpвеpом (напpимеp, с IIS и ExAir). Пpовеpить ВСЕ логины пользователей на веб-сеpвеpе и удостовеpиться в том, что они имеют тяжело угадываемые паpоли. Пpовеpить ВСЕ сеpвисы и откpытые поpты на веб-сеpвеpе, чтобы удостовеpиться в том, что вместо них не установлены пpогpаммы-тpоянские кони. Пpовеpить, нет ли подозpительных файлов в диpектоpиях /dev, /etc и /tmp.



Февраль


14 февраля агентство новостей

"Новый Китай" сообщило, что все китайские пользователи

Интернет должны будут впредь регистрироваться в компетентных органах.

Это сообщение обозначило начало процесса официального закрытия

доступа в Интернет для граждан Китайской Народной Республики.

В сентябре в Китае запретили доступ более чем к ста Web-серверам,

включая "Wall Street Journal", "Washington Post"

и CNN. К концу 1996 года китайские пользователи были официально

ограничены сетью, которая по сути представляет собой Интранет

с фильтрацией международного трафика через национальные межсетевые

экраны.

В средствах массовой информации,

не имеющих технической специализации, появилась куча историй о

предполагаемой опасности заражения вирусом, получившим название

Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии



специалистов о чрезвычайно низкой вероятности поражения этим вирусом

были буквально сметены нахлынувшей волной слухов, что привело

к панике среди неквалифицированных пользователей персональных

компьютеров и к всеобщему, хотя и необоснованному, недоверию к

антивирусным продуктам.

Федеральный судья в Филадельфии

вынес частичное временное ограничивающее решение, запрещающее

проведение в жизнь положения закона "О благопристойности

коммуникаций", касающееся непристойностей. Это решение стало

первой победой в юридической борьбе против закона "О благопристойности

...", принятого в конце 1995 года и встреченного всеобщим

негодованием, поскольку по мнению многих он противоречит Первой

поправке к конституции США, гарантирующей свободу слова. Детали

данного судебного дела и последующего успеха в запрещении проведения

в жизнь закона "О благопристойности ..." можно найти

на Web-сервере и по адресу . В декабре дело передано в Верховный суд, слушания

назначены на март 1997 года.

Представители компании

Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax

и MacInTax) были ошибки. Компания поместила исправления на свой


Web-сервер, предложила консультационную поддержку и пообещала

уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных

ее программистами. Этот пример полезен для всех теоретиков и практиков

контроля качества, когда нужно проиллюстрировать затраты и выгоды,

связанные с инвестированием более половины средств, выделяемых

на разработку программного обеспечения, в контроль качества.

Профессор Ed Felten и

его дипломники из Принстонского университета продолжали анализировать

слабости в безопасности Java-систем (подробности см. по адресу

). В ноябре David Martin <>

из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan

<> и Avi Rubin <>

(оба из компании Bellcore) указали (см. ), что Java-аплеты

могут атаковать межсетевые экраны изнутри. Их статью можно найти

по адресу .

Peter Neumann, ведущий

телеконференции RISKS, рассказал еще об одном случае кибервандализма

(см. также ). Информационная система небольшой компании

BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород

Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой

атаки, в процессе которой некто, действовавший под видом системного

администратора, уничтожил данные на двух компьютерах, после чего

остановил работу системы. Внеплановый простой продлился около

12 часов. Старые удаленные файлы удалось восстановить, однако

файлы, созданные в течение нескольких последних дней, оказались

утерянными. Перед нами еще один случай, иллюстрирующий важность:

защиты Web-серверов

от несанкционированных изменений;

проводимого достаточно

часто резервного копирования.

29 февраля, как сообщил

в один из корреспондентов, он обнаружил в своем электронном

почтовом ящике присланные из разных мест письма со следующими

датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70

и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000

года...

В Англии криминальные

хакеры изменили тексты, передаваемые говорящими автобусными остановками


Фильтрация HTTP


Ресурсы, адресуемые через URI, определяют метод доступа, например, GET, POST и так далее, сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Возможно также размещение этих описаний во внешнем файле.



FireWall-1 сертифицирован Гостехкомиссией


8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.



Firewall - не панацея


Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.



Форматы отчетов


Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом; DIF (Data Interchange Format); HTML; Microsoft Word.

В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:

Lotus 1-2-3; RTF; CSV; Microsoft Excel; и многие другие.

Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.


Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:

Character-separated values; Comma-separated values (CSV); Crystal Report; DIF (Data Interchange Format); Excel 2.1; Excel 3.0; Excel 4.0; Excel 5.0; Excel 5.0 (расширенный); HTML 3.0; HTML 3.2 (стандартный); HTML 3.2 (расширенный); Lotus 1-2-3 (WK1); Lotus 1-2-3 (WK3); Lotus 1-2-3 (WKS); различные форматы баз данных через драйвер ODBC; Rich Text Format (RTF); текстовый; Microsoft Word; и многие другие.

Кроме того, система RealSecure? дополнительно позволяет: сохранять отчеты на жестком диске; сохранять отчеты в базе данных Lotus Notes; сохранять отчеты в папке Microsoft Exchange; пересылать отчеты при помощи механизма Microsoft Mail (MAPI).




Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом; HTML; CSV; и многие другие.



Функциональные требования


Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора). Ведение журналов. Ведение журналов работы в удобной настраиваемой форме. Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях. Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов. Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск. Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.



Функционирование под управлением многих операционных систем


Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:

Windows NT; Windows 95; SunOS; Solaris; HP UX; AIX; Linux.


Система System Security Scanner? позволяет проводить анализ защищенности следующих операционных систем:

Windows NT; Windows 95; Windows 98; SunOS; Solaris; HP UX; AIX; IRIX; Linux.



Функционирование системы Internet Scanner


Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".

Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.



Функционирование системы RealSecure


Система RealSecure? может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure? не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.

Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure? одинаково хорошо поддерживает оба этих варианта.

Система RealSecure? не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.

Модули слежения системы RealSecure? необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.



Функционирование системы System Security Scanner


Система System Security Scanner? выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.

Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.



Где должна быть размещена система


Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через "черный ход", например, через модем.

Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит "свободно" контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от "плохих парней".

Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, "законных" для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике - примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения - невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов - примечание переводчика).

Клаус: Снаружи межсетевого экрана - это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана - тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети.

Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, "проходящие" через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.



Где я могу найти самую последнюю информацию о новых дырах защиты?


5.1.1 CERT (Computer Emergency Response Team)

Если есть какая-нибудь проблема с защитой, вы обязательно, в конце концов, узнаете о ней, когда она появится в CERT advisory. Координационный центр CERT (Computer Emergency Response Team) был организован большим количеством университетов и DARPA в ответ на червь Морриса в 1988. Для большей информации смотрите: .

5.1.2 AUSCERT (AUStralian Computer Emergency Response Team)

AUSCERT - это австралийская команда реагирования на компьютерную опасность AUStralian Computer Emergency Response Team. Для информации о регистрации обратитесь на их сервер:

Для получения более детальной информации свяжитесь непосредственно с AUSCERT по адресу: .

5.1.3 CIAC (Computer Incident Advisory Capability) Департамента Энергетики США

Имеет большое количество полезных консультантов. Для большей информации смотрите: .



Где мне разместить NIDS в своей сети?


Сетевой периметр

IDS наиболее эффективна на сетевом периметре с обоих сторон межсетевого экрана, близко к dial-up серверу и на соединении с сетью партнеров. Эти соединения, как правило, низкоскоростные, так что IDS не снижает их пропускной способности.

Магистраль WAN

Другой важной точкой расположения NIDS является глобальная магистраль. Частая проблема - атака на сеть из удаленной точки. Так как эти соединения также низкоскоростные, то IDS не снижает их пропускной способности.

У важного узла

Иногда NIDS устанавливают перед критичными серверами (например, сервер баз данных - примечание переводчика) для контроля трафика с этим сервером. (К такому варианту размещения можно отнести и использование IDS в демилитаризованной зоне (DMZ) или у модемного пула - примечание переводчика). Однако в данном случае проблема состоит в том, что трафик во внутренней сети передается с большей скоростью, чем в сети внешней, что приводит к неспособности IDS справляться со всем трафиком и, как следствие, снижению пропускной способности локальной сети. Именно поэтому NIDS ставят перед конкретным сервером, контролируя только определенные соединения. (В таких случаях иногда предпочтительнее установить систему обнаружения атак на уровне хоста, которая устанавливается на каждый защищаемый сервер и обнаруживает атаки именно на него - примечание переводчика).

Магистраль локальной сети

IDS непрактичны во внутренней сети из-за неспособности контролировать высокоскоростной трафик. Некоторые производители интегрируют IDS с коммутаторами и маршрутизаторами (например, ODS Network и CISCO - примечание переводчика). Система обнаружения атак, выполняющая полный разбор пакетов, вряд ли сможет быть применена в высокоскоростных сегментах LAN. Упрощенный вариант NIDS, который позволяет обнаруживать только простейшие атаки, возможно, будет более эффективным выбором.



с детства был вскормлен науками,



Я с детства был вскормлен науками, и так как меня уверили, что с их помощью можно приобрести ясное и надежное познание всего полезного для жизни, то у меня было чрезвычайно большое желание изучить эти науки. Но как только я окончил курс учения, завершаемый обычно принятием в ряды ученых, я совершенно переменил свое мнение, ибо так запутался в сомнениях и заблуждениях, что, казалось, своими стараниями в учении достиг лишь одного: все более и более убеждался в своем незнании.
Рене Декарт. Рассуждение о методе, чтобы верно направлять свой разум и отыскивать истину в науках

Криптография сегодня - это уже целая отрасль знаний, захватывающая огромные разделы других наук, целью которой является изучение и создание криптографических преобразований и алгоритмов. В настоящее время четко различаются две ветви развития криптографии: классическая традиционная криптография и современная "асимметричная" криптография.
Речь в книге идет о классической традиционной криптографии, о симметричных криптосистемах, блочных и поточных шифрах. Прочтя книгу, читатель сможет свободно ориентироваться в классических схемах шифрования и криптоанализа, существующих архитектурах построения блочных и поточных шифров, а также в современных и перспективных методах их анализа.
Авторы надеются, что данная книга совместно с другими книгами по рассматриваемой теме, более отдаленными от практической стороны криптографии и несущими больше теоретической информации, послужит хорошим учебным и справочным пособием по реализации и верификации программного обеспечения шифрования данных.

Глубина сканирования


Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.



Безопасность в Internet- Intranet


Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной

реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со

специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий

proxy.

Guardian управляется специальной программой контроля, допускающей

использование команд: THROTTLE (остановить), RELEASE (продолжить работу),

RECONFIGURE (перечитать файл конфигурации).

Guardian стартует при первоначальном запуске системы и должен управляться

только через вышеописанный интерфейс.



/H2> Кое-как расставленные столы


На следующее утро мы занялись сканированием хост-компьютеров с использованием фрагментированных пакетов. В итоге нам удалось обнаружить массу открытых портов, которые могут стать жертвами атак этого типа. По заверению Боба, для него не составило бы труда несколько модифицировать используемый инструментарий и обойти установленный в сети маршрутизатор.

В отчете, который был составлен по результатам тестирования, заказчику рекомендовалось обзавестись брандмауэром, а также провести более детальное обследование всей сетевой инфраструктуры. Конечно, всякая дальнейшая деятельность в данном направлении напрямую зависит от того, способна ли фирма окупить связанные с нею расходы.

Однако получив такой отчет, сетевой администратор не должен ограничиваться доведением его основных выводов до сведения высшего менеджмента компании. Полученные сведения следует преподнести так, чтобы руководство осознало: усиление системы информационной безопасности приведет к реальному увеличению прибыли.

"Если пытаться оправдать расходы на средства защиты данных только на основе анализа рисков, связанных с несанкционированным вторжением в корпоративную сеть, эту затею можно заранее считать обреченной, - утверждает Грегори Уайт, технический директор компании Secure Logic. - Средства информационной безопасности надо рассматривать исключительно в качестве инструмента для успешного ведения бизнеса".

Дебора Рэдклифф (Deborah Radcliff) - технический писатель из Калифорнии. С ней можно связаться по электронной почте:.



Хэш-функции


Хэш-функции являются одним из важных элементов криптосистем на основе ключей. Их относительно легко вычислить, но почти невозможно расшифровать. Хэш-функция имеет исходные данные переменной длины и возвращает строку фиксированного размера (иногда называемую дайджестом сообщения - MD), обычно 128 бит. Хэш-функции используются для обнаружения модификации сообщения (то есть для электронной подписи).

ТипОписание
MD2Самая медленная, оптимизирована для 8-битовых машин
MD4Самая быстрая, оптимизирована для 32-битных машин

Не так давно взломана

MD5Наиболее распространенная из семейства MD-функций.

Похожа на MD4, но средства повышения безопасности делают ее на 33% медленнее, чем MD4

Обеспечивает целостность данных

Считается безопасной

SHA (Secure
Hash Algorithm)
Создает 160-битное значение хэш-функции из исходных данных переменного размера.

Предложена NIST и принята правительством США как стандарт

Предназначена для использования в стандарте DSS



Хэш-функция


Как показывает практика, алгоритмы с открытым ключом очень неэффективны из-за низкой скорости обработки большого объема данных. Для уменьшения времени на генерацию и проверку подписи, а также для сокращения ее размера применяется специальный механизм, называемый хэш-функцией (hash function), который является отображением подписываемого сообщения в строку фиксированной длины, много меньшей размера самого сообщения. Вместо подписи самого документа подписывается хэш-функция этого документа. Аналогичным образом проверяется подпись не самого документа, а его хэш-функции.



Хранение ключей


Согласно правилу Киркхоффа, сформулированному на рубеже 19 и 20 веков, надежность (стойкость) шифра и, как следствие, стойкость цифровой подписи, должна определяться только секретностью ключа, используемого для шифрования или подписи сообщения. Как следствие, секретные ключи никогда не должны храниться в явном виде на носителях, которые могут быть скопированы. Во многих существующих разработках этим условием пренебрегают, оставляя защиту секретных ключей на совести пользователя системы ЭЦП. В некоторых случаях, разработчики предлагают варианты хранения на носителях, которые, по их словам, трудно копируются. Например, таблетки Touch Memory, смарт-карты или бесконтактные карты Proximity. Однако в последнее время за рубежом участились случаи "удачных" атак на такие носители. Эти случаи преимущественно зафиксированы за рубежом, но российские "умельцы" ни в чем не уступают своим западным коллегам, и можно предсказать, что скоро случаи попыток "взлома" аппаратных носителей будут зафиксированы и в России.

Для повышения надежности таких схем хранения рекомендуется секретные ключи шифровать на других ключах, которые в свою очередь, могут быть тоже зашифрованы. Самый последний ключ в этой иерархии называется главным или мастер-ключом и не должен шифроваться. Однако к нему предъявляются очень жесткие требования к хранению в защищенной части компьютера или аппаратуры, реализующей функции цифровой подписи.



Хроника хакерской атаки


Журнал , #02/2000

Дебора РЭДКЛИФФ

В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса компании ParaProtect склонившийся над монитором "хакер" Боб выдавал Unix-команды с такой скоростью, будто его руки лежали не на клавиатуре, а на спусковом крючке автомата.

Боб проверял на прочность периферийные средства защиты сертифицированной компании, специализирующейся на предоставлении услуг электронной почты в Internet и являющейся клиентом ParaProtect.

У молодых фирм, руководство которых решило заняться электронной коммерцией, как правило, недостаточно средств для оплаты полномасштабной атаки на корпоративную сеть, в ходе которой имитируются действия реальных хакеров и ключевые серверы компании выводятся из строя. Более того, такие фирмы в принципе не могут себе позволить перевести серверы в нерабочее состояние даже на минуту, хотя эта мера будет содействовать повышению уровня защищенности сети. Тем не менее одна из них решилась обратиться в ParaProtect - компанию, предоставляющую консалтинговые услуги в области информационной безопасности - для осуществления своеобразной разведывательной вылазки в корпоративную сеть.

По мнению экспертов, коммерческие услуги, моделирующие реальные хакерские атаки, являются идеальным отправным пунктом при проектировании систем сетевой защиты, поскольку "проникающие" тесты позволяют сформировать базу для разработки правил и стратегий защиты информации.

Современные корпоративные сети подвергаются нападениям со всех сторон - из Internet, через модемные соединения и даже со стороны нелояльного персонала, поэтому потребность в услугах вроде тех, что предоставляет ParaProtect, неуклонно растет.

Молодые представители индустрии электронной коммерции принадлежат к числу наиболее уязвимых компаний. Обостряющаяся конкуренция заставляет их как можно быстрее выходить на рынок с коммерческими продуктами, поэтому при развертывании сетевой инфраструктуры средствам защиты данных обычно не уделяется того внимания, какого они заслуживают.

"Нам приходится работать с организациями, у которых не установлены даже брандмауэры, - говорит Ян Пойнтер, президент консалтинговой компании Jerboa из Кембриджа. - Обычно это начинающие фирмы, только что получившие первые инвестиции. Они становятся легкой добычей для хакеров, и только после этого руководство начинает осознавать, что уровень защищенности корпоративной сети мог бы быть повыше".

В нашем случае единственный эшелон обороны компании-заказчика был представлен маршрутизатором серии 8000 производства Cisco Systems. Если бы это устройство оказалось в состоянии противостоять попыткам взломать сеть извне, компания смогла бы воспользоваться технической документацией, которая прилагается к отчету о тестировании, чтобы убедить своих клиентов в высокой защищенности серверных приложений, использующих инфраструктуру обмена ключами (PKI).

Однако сотрудники ParaProtect с самого начала были настроены скептически. "Мы никогда не согласимся с тем, что компания может обойтись без брандмауэра. Использование одного лишь маршрутизатора не позволяет защитить периферию сети, даже если это устройство обладает множеством интеллектуальных функций. Брандмауэры предлагают гораздо больше методов фильтрации пакетов, да и вообще, система информационной безопасности должна быть многоуровневой", - считает Роберт Перхольц, менеджер компании по работе с корпоративными клиентами.

Вот как развивались события в ходе атаки на сеть компании-заказчика, предпринятой сотрудником ParaProtect.



И вновь о подмене


Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.



Июль


Два жителя Бруклина были

арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих

автомобилистов. По словам сотрудников секретных служб, это крупнейшая

кража такого рода в истории США. Если бы эти номера удалось реализовать

на черном рынке, ущерб от незаконно использованных телефонных

услуг составил около 80 миллионов долларов (AP, 2 июля).

В июльском выпуске бюллетеня

"Health Letter" сообщается, что аналоговые сотовые телефоны

вызывают "минимальную интерференцию" в течение 3% времени

своей работы, тогда как все цифровые телефоны демонстрируют заметный

уровень интерференции с устройствами, задающими частоту сокращения

сердечной мышцы. ().

Потерпев впечатляющую

неудачу в контроле качества продуктов для других стран, корпорация

Microsoft вынуждена была принести извинения за испаноязычный электронный

словарь, распространявшийся в Мексике. Словарь предоставлял непристойные

синонимы многих слов и вызвал политический скандал. (6 июля).

35-летний компьютерный

оператор нанес своему работодателю, компании Thorn UK, ущерб в

размере более полумиллиона фунтов. Оператор, в знак недовольства

начальником, скрытно отсоединил несколько кабелей от миникомпьютера

AS/400. Адвокат пытался доказать, что его подзащитный сошел с

ума от напряжения, вызванного постоянным чередованием работы с

дневную и ночную смены. После отключения кабелей компьютерная

система стала периодически зависать, пока дорогостоящий специалист,

прилетевший из США, не обнаружил проявления саботажа. Оператора

приговорили к году тюремного заключения. (PA News, 9 июля).

Полиция предупредила путешественников

о необходимости защищать свои лэптопы от краж в аэропортах. Обычный

сценарий кражи таков. Два вора дожидаются, когда их жертва поставит

лэптоп на ленту транспортера устройства просвечивания. Компьютер

начинает движение через сканер, а в это время воры влезают в очередь

перед хозяином лэптопа. Один быстро проходит контрольный пункт,

а другой, намеренно набравший в карманы всяких железяк, задерживает


всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший

из устройства просвечивания переносной компьютер и исчезает. ("Wall

Street Journal", 9 июля).

В августовском номере

Windows Magazine сообщается, что многие Web-серверы не защищены

от вторжений, совершаемых с помощью обычных программ-навигаторов.

Используя стандартные средства поиска в WWW, исследователи обнаружили,

что многие серверы предоставляют неограниченный доступ к своим

файлам на чтение и даже на запись. (Более подробную информацию

можно найти по адресу ).

Национальная ассоциация

кабельного телевидения США объявила о своем намерении предоставить

кабельное хозяйство для высокоскоростного доступа в Интернет для

95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких

свидетельств, что программа включает в себя какие-либо элементы

обучения детей и учителей, которые получат доступ к Интернет.

Будем надеяться, что школьникам хотя бы разъяснят основные этические

нормы, ведь результатом всеобщего неведения может стать новое

поколение криминальных хакеров.

Сингапур пополнил список

правительств, пытающихся препятствовать свободному информационному

обмену с остальным миром. Новые правила лицензирования ставят

поставщиков Интернет-услуг под строгий контроль, обязывая их по

возможности блокировать антиправительственные и порнографические

материалы. Компетентные органы, однако, настойчиво отрицают наличие

какой бы то ни было цензуры; по их словам, они просто просят лицензиатов

об ответственном поведении. (AP, 11 июля). В течение недели одна

из компаний-поставщиков закрыла доступ к телеконференции Usenet,

в которой житель Сингапура покритиковал авторитетную сингапурскую

юридическую фирму. (AP, 19 июля). Агентский сервер китайского

правительства начал функционировать в конце августа; в сентябре

его ввели в промышленную эксплуатацию. В конце сентября в Бирме

запретили использование модемов и факс-машин.

Старшеклассники из Сан-Франциско

проникли в офисную АТС местной производственной компании и атаковали



ее систему голосовой почты. Они удалили информацию, изменили пароли,

завели новые счета для собственного использования и в конце концов

развалили систему, перегрузив ее. Компания потратила 40 тысяч

долларов на техническую поддержку, осуществляемую внешним специалистом.

("San Francisco Chronicle", 10 июля 1996 года, с. A13;

).

В середине июля корпорация

General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile

и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном

обеспечении двигателя могла привести к пожару. ().

Одна студентка потеряла

драгоценную стипендию в 18 тысяч долларов в Мичиганском университете

из-за того, что ее соседка по комнате воспользовалась их общим

входным именем и отправила от имени своей жертвы электронное письмо

с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка

созналась в своем поступке, заплатила крупный штраф, а университет

восстановил пострадавшую студентку в правах.

Компания Dataquest опубликовала

прогноз, согласно которому объем мирового рынка информационной

безопасности за период с 1996 по 2000 год более чем удвоится и

составит в денежном выражении 13.1 миллиарда долларов (в 1996

году - 5.9 миллиарда).

По сообщению специалистов

компании McAfee, в июле был открыт первый в мире макровирус для

Excel, названный "Laroux". Компания тут же выпустила

антивирусную программу. По-видимому, этот вирус не содержит разрушительной

"начинки".

22 июля фондовая биржа

в Иоханнесбурге прервала работу во второй раз за последние две

недели (10 июля было установлено новое программное обеспечение).

Причина - плохой контроль качества программ. (). В

середине октября Каирская фондовая биржа столкнулась с проблемами

в недавно установленном программном обеспечении. После аварии

системы биржевые цены и объем торгов значительно упали (Reuters,

16 октября). В декабре фондовая биржа в Гонконге испытала падение

акций на 1% при объеме торгов в 1 миллиард долларов, когда система



автоматического сопоставления и исполнения заявок выдала ложное

сообщение о снижении на 4% индекса Hang Seng (это основной показатель

на данной бирже). Ошибочные данные вызвали панические продажи,

продолжавшиеся около 20 минут. ().

24 июля в Комитет по торговле

Сената США поступил законопроект 1726 - "Поддержка онлайновой

коммерции в цифровой век" (Promotion of Commerce Online in

the Digital Era Act, известный также под названием "pro-code").

Этот законопроект должен отменить большинство экспортных ограничений

и запретить обязательное восстановление ключей. В сентябре слушания

по законопроекту не состоялись.

В подпольном мире состоялся

крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали

также некриминальные элементы, заинтересованные в информационной

безопасности. Среди докладчиков была Netta Gilboa, издатель журнала

"Gray Areas Magazine". В свое время у нее нашел убежище

юный беглец Christopher Schanot. Ее выступление постоянно перебивали

и в конце концов вырвали презентационные материалы у нее из рук.

Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.


Июнь


Правительство Вьетнама

опубликовала новые законы о контроле доступа к Интернет, закрыв

все сервисы, представляющие угрозу национальным интересам. (AP,

4 июня).

В газете "London

Times" от 3 июня сообщается, что хакерам было выплачено 400

миллионов фунтов стерлингов в качестве отступного за обещание

не поднимать шума. Хакеры осуществили электронное проникновение

в ряд банков, брокерских контор и инвестиционных компаний Лондона

и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить

требования вымогателей, поскольку огласка случаев электронного

взлома могла бы поколебать уверенность клиентов в безопасности

банковских систем.

Средства массовой информации

советуют администрации Клинтона сформировать группу обеспечения

кибербезопасности для определения национальных интересов при защите

от информационного оружия. ("USA Today", 5 июня).

В Питсбурге трехлетний

малыш получил извещение о необходимости уплатить 219495 долларов

подоходного налога. Родители мальчика пережили немало тяжелых

минут, доказывая, что произошла ошибка. ("Но мой компьютер

говорит...".)

На слушаниях в постоянном

сенатском подкомитете по исследованиям адвокат Dan Gelber привел

данные неназванной исследовательской фирмы. Согласно этим данным,

общемировые потери в секторе коммерческих и финансовых услуг составили

за год около 800 миллионов долларов. Более половины потерь приходится

на долю американских компаний. ("Wall Street Journal",

6 июня).

Содержите компьютеры в

чистоте! Как свидетельствует доклад, опубликованный в Швеции,

сочетание пыли и статического электричества приводит к росту числа

кожных раздражений у пользователей компьютерных терминалов. ().

Британская компания Davy

International возбудила иск о промышленном шпионаже против австралийской

фирмы VA Technologie AG. По постановлению суда истец получил документы

общим объемом 2000 страниц и компьютерные диски, содержащие информацию,

принадлежащую Davy International; все это было изъято у ответчика.


VA Technologie решительно отвергла обвинения в свой адрес (Dow

Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная

фирма Kvaerner ASA (родительская компания Davy) присоединилась

к процессу против VA. Недолго думая, VA Technologie возбудила

встречный иск против своих обвинителей. (Dow Jones, 21 июня).

Телезрители чикагского

региона были поражены, когда вместо знакомой (весьма, кстати сказать,

слащавой) телеигры Jeopardy, в которой три участника дают ответы

в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось,

что из-за технической неисправности компания Continental Cablevision

10 минут транслировала Playboy Channel на частотах, выделенных

для телеигры. ().

Компания Lexis-Nexis,

предоставляющая информационные услуги, отреагировала на шквал

критики, в особенности от пользователей Интернет. В набор персональных

сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал

включаться номер социального страхования. Однако, после тысяч

телефонных звонков по поводу ложной информации, циркулирующей

в Интернет, попавшая буквально в осаду компания предложила средства

для удаления неправильных записей из базы данных. (AP, 13 июня;

UPI, 20 сентября).

Министр юстиции США Janet

Reno поддержала идею составных ключей для криптостойких средств,

но предложила, чтобы в качестве хранителей ключей выступали частные

организации, а не правительственные агентства.

Секретные службы США объявили

об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба

на сумму более 7 миллионов долларов в результате махинаций с сотовой

связью (Reuters, 18 июня). Практически одновременно AT&T Wireless

Services начала трехмесячную просветительскую компанию с размещением

информации в вагонах Нью-Йоркской подземки, на почтовых открытках

и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы

сотовой связи имеют возможность отслеживать украденные телефоны.

Еще об одном подозрении

в промышленном шпионаже. Американское отделение немецкой фармацевтической



фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение

компании Johnson & Johnson, производящее продукты для диабетиков,

в поощрении промышленного шпионажа. Основанием для обвинения послужило

присуждение премий "Inspector Clouseau" и "Columbo"

сотрудникам, добывшим наибольшее количество сведений о конкурентах.

(AP, 19 июня).

В середине июня крупная

компания-поставщик Интернет-услуг Netcom допустила 13-часовой

перерыв в работе, результатом которого стало массовое негодование

клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters,

21 июня; ). Днем позже система электронной почты в

сети America Online была на час выведена из строя из-за ошибки

в новом программном обеспечении. Остроумные комментаторы тут же

переименовали сервис в "America Offline". В августе

сеть America Online не работала 19 часов.

В Британии Mathew Bevan

и Richard Pryce были обвинены в заговоре с целью получения несанкционированного

доступа к компьютерам и внесения несанкционированных модификаций

в компьютеры. Им приписывают вторжения в компьютерные системы

армии США и ракетно-космического концерна Lockheed. (PA News,

23 июня).

Подданный Аргентины Guillermo

Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения

в федеральной тюрьме. Гильермо сознался в том, что он отправил

видеокассеты с описанием технологии производства Intel-микросхем

в адрес компании AMD, одного из главных конкурентов Intel. Представители

AMD немедленно уведомили полицию о присланном "подарке",

и это позволило задержать промышленного шпиона. (Reuters, 24 июня).

Директор ЦРУ John Deutch

предостерег Конгресс о том, что США сталкиваются с растущей угрозой

атак против компьютерных сетей. Эти киберпространственные атаки

могут быть инициированы другими странами и террористами.

В городе Леония (штат

Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании

фальсифицированных номеров кредитных карт для кражи компьютерного



оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор

номеров кредитных карт, взятый им в Интернет, и случайно создал

номер кредитной карты. числившейся в списке украденных. (Reuters,

29 июня).

В июньском выпуске бюллетеня

"Health Letter", издаваемого Public Citizen Health Research

Group, рассказывается о влиянии радиочастотных помех на медицинские

устройства. Такие помехи не давали пневмо-монитору извещать персонал

больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор

направлял импульс здоровому сердцу. Электрические устройства интерферировали

с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам

оказались имплантированные устройства, задающие частоту сокращения

сердечной мышцы. ().

Один пункт в июньском

докладе группы NCSA IS/Recon представляет особый интерес. Приведем

его полностью.

Компьютерные системы библиотек

- излюбленные цели начинающих хакеров

Источник: IS/Recon

Дата: июнь 1996

Достоверность: высокая

Группа IS/Recon обратила

внимание на то, что компьютерные системы публичных библиотек стали

излюбленным объектом атак со стороны начинающих хакеров. Использование

этих систем "квалифицированными" хакерами также вероятно,

хотя они сообщают об этом реже, чем их младшие коллеги. Несколько

подпольных источников IS/Recon недавно опубликовали процедуры

атак на DYNIX - вариант ОС Unix, используемый во многих американских

школах и библиотеках.

После того, как члены

группы IS/Recon недавно ликвидировали последствия атаки шайки

хакеров на компьютерную систему небольшой компании-поставщика

Интернет-услуг, они выяснили, что эта шайка систематически вторгалась

в сети публичных библиотек штата. Примерно в это же время члены

группы IS/Recon проводили обследование компании, расположенной

в том же штате, на предмет ее информационной безопасности. Оказалось,

что в учебном центре компании имеется терминал, связанный с библиотечной

сетью.

Группа IS/Recon рекомендует,

чтобы компании, располагающие подключениями к сетям публичных

библиотек, изолировали их "воздушной прокладкой" от

остальной части своей корпоративной сети.


Имеется ли технология обнаружения атак, которая предпочтительней других?


Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.

Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.

Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.

Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.

Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.



"Имитация атак" (exploit check)


Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении.

Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").



Имитационный сценарий хакерской атаки


Первый этап

Получение данных о тестируемой сети (количество сетей филиалов, IP-адреса, типы компьютеров)

Второй этап

Выявление наиболее уязвимых участков сети (выдача команд ping на отдельные порты и анализ сервисов, которые на них запущены)

Третий этап

Проверка степени уязвимости (попытки нарушить работу сервисов, скопировать файлы с паролями, внести в них изменения и т. д.)

Четвертый этап

Атака на корпоративную сеть с целью прервать работу сервисов и вызвать сбои в функционировании ключевых серверов.



Информация о некоторых первоисточниках


Новостийные статьи обычно

разыскивались через сервис Executive News Service (ENS) сети CompuServe.

Информация о сервисе Edupage

Дайджесты Edupage пишут

John Gehl <> и Suzanne Douglas <>.

Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая

поддержка осуществляется службой информационных технологий университета

штата Северная Каролина. Чтобы подписаться на Edupage, направьте

электронное сообщение по адресу:

В теле сообщения напишите:

subscribe edupage Benjamin Disraeli

(если Вас зовут Бенджамин

Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы

отказаться от подписки, направьте по вышеуказанному адресу текст

unsubscribe edupage

Если у Вас возникли проблемы

с подпиской, пишите по адресу:

Архивы и переводы. Дайджесты

Edupage переводятся на китайский, французский, немецкий, греческий,

иврит, венгерский, итальянский, корейский, литовский, португальский,

румынский, словацкий и испанский. Переводы и архивы можно найти

на Web-сервере

Чтобы получить информацию

о подписке на переводную версию Edupage, направьте письмо по адресу:

Educom - преобразуем образование

посредством информационных технологий.

Информация о телеконференции

RISKS

Дата: 15 августа 1996

года (дата последних изменений)

От: RISKS-request@csl.sri.com

Тема: Краткая информация

о телеконференции RISKS (comp.risks)

RISKS Forum - это модерируемый

дайджест. Его эквивалент в Usenet - comp.risks.

О подписке. Если это возможно

и удобно для Вас, читайте RISKS средствами телеконференций из

comp.risks или эквивалентного источника.

Можно использовать сервис

Bitnet LISTSERV.

Можно направить почтовый

запрос по адресу:

с однострочным текстом:

SUBSCRIBE (или UNSUBSCRIBE)

[сетевой адрес, если он отличается от указанного в заголовке FROM:]

чтобы подписаться или

прекратить подписку на почтовую версию, или

INFO

чтобы получить краткую

информацию о телеконференции RISKS.

Информационный файл (аннотация,

подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков


из областей управления .mil, .gov и .uk, политика в области авторских

прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:

Подробный информационный

файл появится отныне и на веки веков в одном из следующих выпусков.

Предполагается, что все

авторы, пишущие в RISKS, ознакомились с информационным файлом.

Материалы в телеконференцию

RISKS следует направлять по адресу:

снабдив их осмысленным

заголовком SUBJECT:.

Архивы доступны по адресам:

ftp ftp.sri.com<CR>login

anonymous<CR> [Ваш Интернет-адрес]<CR>cd risks

http://catless.ncl.ac.uk/Risks/<том>.

<выпуск>.html

В каталоге risks сервера

ftp.sri. com содержится также самая свежая PostScript-версия исчерпывающей

хронологической подборки однострочных "выжимок", которую

поддерживает Peter G. Neumann


Информационная безопасность


Технологии Интернет изменяют не только подходы организаций к ведению бизнеса, но и их отношение к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. Для того, чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров. Check Point Software Technologies предлагает комплексное решение, соответствующее этим новым и постоянно возрастающим требованиям.

Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями . FireWall-1 позволяет и на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» [OPSEC - Open Platform for Secure Enterprise Connectivity] - основывается на концепции объединения технологий защиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-1. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.

Только FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как ,

Имея тысячи инсталляций в различных организациях по всему миру, Check Point FireWall-1 является самым распространенным и наиболее оттестированным продуктом сетевой защиты на сегодняшний день.


Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются.. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.

Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.

Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1.

Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.

Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем.


написание слов, которые могут послужить


Материалы предоставлены компанией

В тексте оставлено англоязычное

написание слов, которые могут послужить аргументом поиска в Интернет

- прим. перев.

© 1997 National Computer

Security Association. All rights reservedURL:

М.Е. Кабай, доктор

наук, Национальная ассоциация информационной безопасности США

Автор, M.E. Kabay,

сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно

в 1917 году, шлет теплые поздравления своим неизвестным родственникам,

проживающим в России.



























Людям нравится перспектива

- и пространственная, и временная. Может быть, по этой причине

каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев,

и вспоминают, что изменилось за это время в области их профессиональных

интересов. В "NCSA News" публикуется обзор года "The

InfoSec Year in Review", чтобы осмыслить события, произошедшие

в области информационной безопасности. Наша группа исследований,

обучения и консультирования, естественно, имеет удовольствие писать

этот обзор. Предлагаемая вниманию читателей статья представляет

собой существенно расширенную версию доклада, опубликованного

в январском выпуске "NCSA News" за 1997 год. Каждый

месяц мы готовим свежую сводку событий для наших учебных курсов

"InfoSec Update"; в статье сохранено разбиение по месяцам.

Кроме фактов, ниже излагаются некоторые соображения по поводу

наиболее примечательных событий.


Информационная система. Взгляд изнутри


Для любой компании (финансовой, страховой, торговой и т.п.) существует своя типовая информационная система (ИС), состоящая из компонент, решающих свои специфичные задачи, но в общем случае ИС включает в себя 4 уровня (рис.1.):

1. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, системы MS Query и т.д.

2. Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access.

3. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT, Sun Solaris, Novell Netware.

4. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.

У злоумышленников имеется широчайший спектр возможностей по нарушению политики безопасности, которые могут быть осуществлены на всех четырех вышеназванных уровнях ИС [5]. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server злоумышленники могут попытаться реализовать одну из следующих возможностей:

1. Прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).

2. Прочитать нужные данные средствами самой СУБД (уровень СУБД).

3. Прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС).

4. Перехватить передаваемые по сети данные (уровень сети).

Рис.1. Уровни информационной системы



Интеграция средств контроля доступа и средств VPN


Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов.

Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу.

Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится.

Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.


Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:

Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил. Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия. Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик. Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок. Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.

Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.



Internet Scanner


Система анализа защищенности — Internet Scanner — предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п. Результатом тестирования являются отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места». Хотелось бы отметить, что еще год назад Internet Scanner был сертифицирован Гостехкомиссией РФ (сертификат № 195) и пока является единственной системой анализа защищенности, получившей «добро» в этой организации.

Более 3000 компаний во всем мире (включая Россию) используют Internet Scanner в качестве основного компонента системы обеспечения сетевой безопасности

Internet Scanner может быть использован для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключенных к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из трех основных подсистем: Intranet Scanner для тестирования рабочих станций, серверов, X-терминалов; Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования; Web Security Scanner для контроля за Web-, FTP-, SMTP- и другими службами. Firewall Scanner используется Гостехкомиссией РФ при проверках МЭ для их сертификации на информационную безопасность.

Технология SmartScan сделала Internet Scanner «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер; он изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создает полную картину уязвимостей организации и способен автоматически применить накопленные сведения для расширения возможностей сканирования

Подробно описывать все возможности системы Internet Scanner нет нужды — этому посвящено немало статей. Хотелось бы остановиться на некоторых функциях, не получивших освещения в российских публикациях. Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых — задание своих собственных и множества стандартных проверок (более 600), определение глубины сканирования, централизованное управление процессом сканирования, параллельное сканирование до 128 сетевых устройств и систем, запуск процесса по расписанию, генерация отчетов различных форматов и уровня детализации, функционирование под управлением ряда ОС и невысокие системные требования к программно-аппаратному обеспечению.




Рис. 1. Типовой отчет о защищенности сети, полученный с помощью Internet Scanner

Настройка на конкретное сетевое окружение организации облегчается за счет шаблонов для поиска тех или иных «слабых мест». Все 600 уязвимостей, обнаруживаемых Internet Scanner, разделены на 26 категорий, по которым можно создавать и собственные новые шаблоны.

Продукт ISS обеспечивает такую уникальную проверку, как определение работающих в сети модемов. С ее помощью реально предотвращается несанкционированный доступ к корпоративной сети через модем в обход межсетевого экрана.

Механизм генерации отчетов Internet Scanner позволяет выбирать из 30 готовых форм. Они позволяют получить как обобщенные данные об уровне защищенности всей организации (рис. 1), так и подробные отчеты, содержащие техническую информацию о том, где и какие «слабые места» обнаружены, а также инструкции по их устранению (например, пошаговые рекомендации по изменению системного реестра Windows или строки в конфигурационных файлах Unix, гиперссылка на FTP- или Web-сервер с обновлением, устраняющим уязвимость). Отчеты могут быть выведены не только на английском, но и на немецком, французском, испанском, португальском и, что примечательно, на русском языке. Русифицирована и подсистема описания уязвимостей (рис. 2.).



Рис. 2. Вид экрана описания
уязвимостей Internet Scanner

Последняя версия Internet Scanner имеет возможность добавлять собственные проверки уязвимых мест, например описанных в Bugtraq или обнаруженных в процессе работы.

Подсистема моделирования атак — Advanced Packet eXchange — поставляется бесплатно c Internet Scanner и позволяет администратору создавать допустимые и запрещенные IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.


Инженеры человеческих душ


- Алло!

- Справочная Киевского вокзала слушает.

- У вас заложена бомба.

- !?…

В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи.



IP Hijacking


Если в предыдущем случае крэкер инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией "подслушивания" и IP spoofing'а.



Использование однократного гаммирования


С точки зрения теории криптоанализа метод шифрования однократной случайной равновероятной гаммой той же длины, что и открытый текст, является невскрываемым (далее для краткости авторы будут употреблять термин "однократное гаммирование", держа в уме все вышесказанное). Обоснование, которое привел Шеннон, основываясь на введенном им же понятии информации, не дает возможности усомниться в этом - из-за равных априорных вероятностей криптоаналитик не может сказать о дешифровке, верна она или нет. Кроме того, даже раскрыв часть сообщения, дешифровщик не сможет хоть сколько-нибудь поправить положение - информация о вскрытом участке гаммы не дает информации об остальных ее частях.

Логично было бы предположить, что для организации канала конфиденциальной связи в открытых сетях следовало бы воспользоваться именно схемой шифрования однократного гаммирования. Ее преимущества вроде бы очевидны. Есть, правда, один весомый недостаток, который сразу бросается в глаза, - это необходимость иметь огромные объемы данных, которые можно было бы использовать в качестве гаммы. Для этих целей обычно пользуются датчиками настоящих случайных чисел (в западной литературе аналогичный термин носит название True Random Number Generator или TRNG). Это уже аппаратные устройства, которые по запросу выдают набор случайных чисел, генерируя их с помощью очень большого количества физических параметров окружающей среды. Статистические характеристики таких наборов весьма близки к характеристикам "белого шума", что означает равновероятное появление каждого следующего числа в наборе. А это, в свою очередь, означает для нас действительно равновероятную гамму .

К сожалению, для того чтобы организовать конфиденциальный канал передачи данных, потребуется записать довольно большое количество этих данных и обменяться ими по секретному каналу . Уже одно это условие делает однократное гаммирование во многих случаях неприемлемым. В самом деле, зачем передавать что-то по открытому незащищенному каналу, когда есть возможность передать все это по секретному защищенному? И хотя на простой вопрос, является ли метод использования однократной случайной равновероятной гаммы стойким к взлому, существует положительный ответ, его использование может оказаться попросту невозможным.

Да и к тому же метод однократного гаммирования криптостоек только в определенных, можно даже сказать, тепличных условиях. Что же касается общего случая, то все не так просто.

Показать слабости шифра однократного гаммирования можно, говоря наукообразно, с помощью примера или, что называется, "на пальцах". Представим следующую ситуацию.

Допустим, в тайной деловой переписке используется метод однократного наложения гаммы на открытый текст. Напомним, что "наложение" гаммы не что иное, как сложение ее элементов с элементами открытого текста по некоторому фиксированному модулю. Значение модуля представляет собой известную часть алгоритма шифрования.

Чтобы дальнейшие рассуждения были как можно более понятны, рассмотрим следующее свойство шифротекста. Предположим, что мы знаем часть гаммы, которая была использована для зашифрования текста "Приветствую, мой ненаглядный сосед!" в формате ASCII, кодировка WIN-1251 (см. листинг 7.1).


П р и в е т с т в у ю , _ м о й CF F0 E8 E2 E5 F2 F1 F2 E2 F3 FE 2C 20 EC EE E9 _ н е н а г л я д н ы й _ с о с 20 ED E5 ED E0 E3 EB FF E4 ED FB E9 20 F1 EE F1 е д ! E5 E4 21

Листинг 7.1

Верхние строки в этих трех парах строк соответствуют символам открытого текста, а нижние строки представляют собой соответствующие шестнадцатеричные их обозначения.

Для зашифрования была использована гамма из листинга 7.2 (значения чисел даны тоже в шестнадцатеричном формате).

BD 8E 1E 72 9C 26 43 AD E7 8B 89 7C 91 06 DE E2 2B DC F9 C9 E1 6D BB 91 43 68 F3 6D 85 2F 0A 74 0F AA 7A 8D A1 8C F8 4A 5D 52 7B BB 7C 01 25 93

Листинг 7.2

Пусть криптоаналитику стали доступны ее первые десять байтов и он также знает, что было использовано наложение гаммы как сложение по модулю два . В языке Си существует общеизвестный оператор "^", который ее выполняет. Алгоритм шифрования на языке Си описывается короткой и простой функцией (см. листинг 7.3).

char text[1024] = "Приветствую, мой ненаглядный сосед!"; char gamma[1024] = { 0xBD, 0x8E, 0x1E, 0x72, 0x9C, 0x26, 0x43, 0xAD, 0xE7, 0x8B, 0x89, 0x7C, 0x91, 0x06, 0xDE, 0xE2, 0x2B, 0xDC, 0xF9, 0xC9, 0xE1, 0x6D, 0xBB, 0x91, 0x43, 0x68, 0xF3, 0x6D, 0x85, 0x2F, 0x0A, 0x74, 0x0F, 0xAA, 0x7A, 0x8D, 0xA1, 0x8C, 0xF8, 0x4A, 0x5D, 0x52, 0x7B, 0xBB, 0x7C, 0x01, 0x25, 0x93 }; for (int i = 0; i < strlen(text); i++) text[i] ^= gamma[i];

Листинг 7.3

А ее результат выполнения, то есть зашифрованный текст, выглядит, как показано в листинге 7.4.

72 7E F6 90 79 D4 B2 5F 05 78 77 50 B1 EA 30 0B 0B 31 1C 24 01 8E 50 6E A7 85 08 84 A5 DE E4 85 EA 4A 5B

Листинг 7.4

Поскольку криптоаналитику известны первые десять байтов гаммы, он может дешифровать первые десять байтов шифротекста с помощью все той же программы из листинга 7.3. Но кроме этого, он может использовать известные ему байты гаммы, чтобы подделать начало сообщения, заменив десять байтов оригинального шифротекста на свои собственные. Для этого он может выбрать поддельное сообщение, например "До свидания". Затем зашифровать его гаммированием и поместить в начало шифротекста вместо зашифрованной части исходного сообщения - слова "Приветствую". В этом случае гамма будет выглядеть так, как в листинге 7.5 (жирным выделен замещенный участок).



79 60 3E 83 7E CE A7 4D 0A 63 76 50 B1 EA 30 0B 0B 31 1C 24 01 8E 50 6E A7 85 08 84 A5 DE E4 85 EA 4A 5B

Листинг 7.5

Получатель, расшифровав сообщение, увидит фразу "До свидания, мой ненаглядный сосед!", а не оригинальную "Приветствую, мой ненаглядный сосед!". При этом у него не будет никакой возможности проверить, действительно ли это написал отправитель или кто-то другой. Так что, скорее всего, он поверит присланному сообщению.

Вернемся теперь немного назад и попробуем проанализировать зашифрованный однократной гаммой документ, содержащий что-либо более существенное. К примеру, коммерческую тайну. Поставим себя на место криптоаналитика, задачей которого стало вскрытие перехваченного зашифрованного документа.

Этот документ вполне может быть контрактом на оказание услуг в сфере защиты информации конкурирующей фирмы "Рога и Копыта". Как и большинство деловых бумаг, подобный контракт имеет фиксированный бумажный формуляр (примитивный вариант изображен в листинге 7.6), в который попросту вписываются нужные значения полей - фамилии, суммы и ставятся подписи. При переводе в электронный вид этот документ принимает вполне определенную фиксированную электронную форму в формате какого-нибудь текстового процессора.

Д О Г О В О Р N____

Я, ___________________, именуемый в дальнейшем… …заключаю договор на сумму _______ …

Подпись ЗАКАЗЧИКА Подпись ИСПОЛНИТЕЛЯ

Листинг 7.6

Криптоаналитик наверняка легко может получить копию этого электронного документа. Он может сделать это, например, под предлогом заключения договора о тестировании компьютеров на предмет возможной утечки информации. Исследуя эту копию, он узнает тип и электронный формат документа, который у него уже есть в зашифрованном виде. Таким образом, он становится обладателем так называемой вторичной информации о шифре.

С высокой долей вероятности может оказаться, что к нему в руки попал документ, например, в формате Microsoft Word. Этот формат содержит очень много избыточной информации, которая сама по себе может быть полезна для криптоанализа (подробнее об этом см. раздел "Защита текстовых документов Microsoft Word").

Самое главное в любом формате - перечень значений различных полей. Многие поля формата текстовых файлов Microsoft Word (MSWord) просто заполняются фиксированными значениями. Тогда, по сути, криптоаналитик сразу же получает довольно много пар "открытый текст - зашифрованный текст", поскольку многие участки того файла, который находится в его руках, либо вовсе фиксированы, либо легко угадываются.

Это наверняка дало бы криптоаналитику множество преимуществ, если бы документ был зашифрован каким-нибудь блочным шифром, но, к сожалению, совершенно бесполезно в случае однократного использования равновероятной гаммы.

Анализируя шифротекст, мы можем сложить известные нам значения полей формата MSWord с зашифрованным текстом и получить участки гаммы. Но, к сожалению, эта информация ничем не поможет нам в поиске возможных значений для остальных участков гаммы, поскольку они вырабатывались независимо друг от друга и знание одной части не дает ни капли информации о других частях.

С другой стороны, получив текстовый формуляр в электронном виде и сравнивая его с зашифрованным текстом, мы можем с некоторой уверенностью указать на местоположение тех или иных элементов текста в зашифрованном документе. То есть, имея стандартный формуляр, мы можем опираться не только на легко угадываемые значения полей формата MSWord, но и уже на текстовые сообщения, которые хранятся в файле в этом формате.

Посмотрим на добытый криптоаналитиком формуляр типового документа. Для этого можно использовать HEX-редактор или даже быстренько набросать программку вывода содержимого файла с помощью функции print_hex() (см. главу "Отступление для программистов").

По смещению 500h (в десятичном эквиваленте 500h = 1280) байтов в содержимом файла можно найти отлично видимый невооруженным взглядом текст уже знакомого документа, приведенный выше (см. листинг 7.7).



00000500: C4 20 CE 20 C3 20 CE 20 ¦ C2 20 CE 20 D0 20 20 20 Д О Г О В О Р . 00000510: 4E 5F 5F 5F 5F 0D 0D DF ¦ 2C 20 5F 5F 5F 5F 5F 5F N____ Я, ______ 00000520: 5F 5F 5F 5F 5F 5F 5F 5F ¦ 5F 5F 5F 5F 5F 2C 20 E8 _____________, и 00000530: EC E5 ED F3 E5 EC FB E9 ¦ 20 E2 20 E4 E0 EB FC ED менуемый в дальн 00000540: E5 E9 F8 E5 EC 85 0D 85 ¦ E7 E0 EA EB FE F7 E0 FE ейшем: заключаю 00000550: 20 E4 EE E3 EE E2 EE F0 ¦ 20 ED E0 20 F1 F3 EC EC договор на сумм 00000560: F3 20 5F 5F 5F 5F 5F 5F ¦ 5F 0D 0D 0D CF EE E4 EF у _______ Подп . 00000570: E8 F1 FC 20 C7 C0 CA C0 ¦ C7 D7 C8 CA C0 09 09 CF ись ЗАКАЗЧИКА П 00000580: EE E4 EF E8 F1 FC 20 C8 ¦ D1 CF CE CB CD C8 D2 C5 одпись ИСПОЛНИТЕ 00000590: CB DF 0D 0D 21 00 91 C4 ¦ 02 A1 01 00 9C C4 02 9D ЛЯ..............

Листинг 7.7

В таком случае данные зашифрованного файла по этому же смещению могут выглядеть так же, как и в листинге 7.8 (авторы берут на себя смелость немного свободно обращаться с шифротекстом, однако, как будет показано, это не меняет ситуации в целом):

00000500: F2 A9 BC 9B 37 FD 49 C0 ¦ 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. 00000510: C8 96 C8 76 6E BC 3B A9 ¦ 8B BA 91 1D 82 70 E1 A6 +Ц+vn+;йЛ¦С_Вpсж 00000520: 78 1B 22 09 F2 70 72 CB ¦ 85 C8 BC DC 62 DC F4 D9 x_".Єpr-Е++_b_Ї+ 00000530: B6 E0 0E CB 6E AD 1B B9 ¦ 4C ED 44 A2 A2 0C CA 2D ¦р-nн_¦LэDвв--.. 00000540: 51 B4 27 6E E6 17 72 10 ¦ 7C 79 29 EF E4 A5 08 A0 Q¦'nц_r_|y)яфе_а 00000550: 5C 5C B7 FA 73 DF CC 9F ¦ CB AA A8 8C E0 82 25 84 \\+·s_¦Я-киМрВ%Д 00000560: 7E DA 16 35 8F 86 6C 52 ¦ 2D 8F F2 FB 2A C7 E9 85 ~+_5ПЖlR-ПЄ_*¦щЕ 00000570: B8 9E F3 45 D9 1A 57 5E ¦ E1 A2 67 37 E4 D7 71 A2 +ЮєE+_W^свg7ф+qв 00000580: B6 1B B9 C3 79 5D CA 2F ¦ AF 44 A2 20 65 F2 24 9B ¦_¦+y]-/пDв eЄ$Ы 00000590: BC 83 D4 34 05 7E FA AA ¦ 83 F4 AF EA 72 93 BB 57 +Г+4_~·кГЇпъrУ+W

Листинг 7.8

Если теперь данные из зашифрованного файла сложим по модулю два (ведь по правилу Керкхоффа нам известен способ сложения гаммы с открытым текстом) с данными типового договора, то получим не что иное, как несколько байтов гаммы (см. листинг 7.9). Точно так же мы поступали с текстом "Приветствую, мой ненаглядный сосед!", рассматривая способ подделывания подобных сообщений.



Байты из типового договора по смещению 500h: C4 20 CE 20 C3 20 CE 20 C2 20 CE 20 D0 20 20 20 Д О Г О В О Р . Складываем с байтами шифротекста договора по тому же смещению: F2 A9 BC 9B 37 FD 49 C0 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. И получаем байты гаммы: 36 89 72 BB F4 DD 87 E0 DC A9 EE CC EA 99 D1 0E Єй+Ы7¤I+-Й ь:¦ё.

Листинг 7.9

Теперь допустим, мы каким-либо образом узнали, что сделка была оформлена на общую сумму $15000. Следовательно, эта сумма была проставлена в документе, зашифрованный вариант которого мы имеем.

Посмотрим на документ - поле для ввода суммы сделки находится по смещению 562h (1378) в файле. Можно предположить, и это почти наверняка окажется так, что и в зашифрованном файле по тому же смещению находится строка "$15000".

Если злоумышленник задастся целью подделать сумму сделки, он может в этом преуспеть, сделав всего несколько простых вычислительных действий при помощи средств модулярной арифметики.

Итак, следуя данному немного выше примеру и сделав предположение, что сумма равна ни больше ни меньше $15000, сложим по модулю два байты строки в зашифрованном тексте, начиная со смещения 562h (именно там находится сумма договора), с байтами строки "$15000" - предполагаемой нами суммой. Результат отражен в листинге 7.10.

7E DA 16 35 8F 86 6C 52 2D 8F F2 FB 2A C7 E9 85 ~+_5ПЖlR-ПЄ_*¦щЕ cкладываем с байтами строки "$15000": 24 31 35 30 30 30 $15000 И получаем байты гаммы: 32 04 BA B6 5C 62 2_¦¦\b

Листинг 7.10

Получив таким простым образом уже не просто несколько байтов гаммы, а участок гаммы, где находится интересующая нас информация, мы можем зашифровать все, что нам заблагорассудится. В нашем случае это любая сумма договора. А затем мы можем поместить результат по выбранному смещению обратно в зашифрованный файл и выслать его действительному получателю.

Уменьшим слегка сумму контракта, сложив байты шифротекста с байтами строки "$00000" (см. листинг 7.12):

cкладываем байты гаммы: 32 04 BA B6 5C 62 2_¦¦\b



с байтами строки "$00000": 24 30 30 30 30 30 $00000 и снова получаем байты шифротекста: 16 34 8A 86 6C 52 .4КЖlR

Листинг 7.11

В результате этих действий получаем почти тот же зашифрованный текст, но теперь в контракте стоит совершенно другая сумма (см. листинг 7.12, рамочкой обведены изменившиеся байты).

00000500: F2 A9 BC 9B 37 FD 49 C0 ¦ 1E 89 20 EC 3A B9 F1 2E Єй+Ы7¤I+-Й ь:¦ё. 00000510: C8 96 C8 76 6E BC 3B A9 ¦ 8B BA 91 1D 82 70 E1 A6 +Ц+vn+;йЛ¦С_Вpсж 00000520: 78 1B 22 09 F2 70 72 CB ¦ 85 C8 BC DC 62 DC F4 D9 x_".Єpr-Е++_b_Ї+ 00000530: B6 E0 0E CB 6E AD 1B B9 ¦ 4C ED 44 A2 A2 0C CA 2D ¦р-nн_¦LэDвв--.. 00000540: 51 B4 27 6E E6 17 72 10 ¦ 7C 79 29 EF E4 A5 08 A0 Q¦'nц_r_|y)яфе_а 00000550: 5C 5C B7 FA 73 DF CC 9F ¦ CB AA A8 8C E0 82 25 84 \\+·s_¦Я-киМрВ%Д 00000560: 7E DA 16 34 8A 86 6C 52 ¦ 2D 8F F2 FB 2A C7 E9 85 ~+.4КЖlR-ПЄ_*¦щЕ 00000570: B8 9E F3 45 D9 1A 57 5E ¦ E1 A2 67 37 E4 D7 71 A2 +ЮєE+_W^свg7ф+qв 00000580: B6 1B B9 C3 79 5D CA 2F ¦ AF 44 A2 20 65 F2 24 9B ¦_¦+y]-/пDв eЄ$Ы 00000590: BC 83 D4 34 05 7E FA AA ¦ 83 F4 AF EA 72 93 BB 57 +Г+4_~·кГЇпъrУ+W

Листинг 7.12

Таким образом, для выбранного специалистами фирмы "Рога и Копыта" способа шифрования (то есть однократного шифрования равновероятной гаммой) существуют вполне приемлемые условия, при которых может быть использован по крайней мере один способ подделки сообщений. А это уже весьма ощутимый результат, который может оказаться "последней ошибкой".

Аналогичным и еще более простым с точки зрения криптоанализа примером является шифрование методом однократного гаммирования электронных почтовых сообщений.

Сообщения электронной почты в сети Интернет передаются (как и многие другие данные простых сетевых протоколов прикладного уровня) в текстовом виде, приемлемом для анализа невооруженным взглядом. В листинге 7.13 представлен пример почтового сообщения в том виде, в котором оно путешествует в сети от компьютера к компьютеру. А листинг 7.14 содержит то же самое сообщение, но так, как его видит рядовой пользователь.



From POPmail Tue Nov 17 18:45:15 1998 (with Netcom Interactive pop3d (v1.21.1 1998/05/07) Wed Nov 18 02:39:15 1998) X-From_: seg@crow.sec.gov Tue Nov 17 20:36:28 1998 Received: from crow.sec.gov (crow.sec.gov [204.192.28.11]) by multi33.netcomi.com (8.8.5/8.7.4) with ESMTP id UAA32707 for <fc@all.net>; Tue, 17 Nov 1998 20:36:28 -0600 Received: (from seg@localhost) by crow.sec.gov id VAA01882 for fc@all.net; Tue, 17 Nov 1998 21:37:15 -0500 From: Joe Segreti <seg@crow.sec.gov> Message-Id: <199811180237.VAA01882@crow.sec.gov> Subject: Ответ на пpедложение To: fc@all.net Date: Tue, 17 Nov 1998 21:37:14 -0500 (EST) X-Mailer: ELM [version 2.4 PL25 PGP7] MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Добpого вpемени суток! Уважаемые коллеги, пpедлагаем вам следующую фоpму сотpудничества. …

Листинг 7.13

Date: Tue, 17 Nov 1998 21:37:14 -0500 (EST) From: Joe Segreti <seg@crow.sec.gov> To: fc@all.net Subject: Ответ на пpедложение Добpого вpемени суток! Уважаемые коллеги, пpедлагаем вам следующую фоpму сотpудничества. …

Листинг 7.14

И в том и в другом случае в сообщении остается много служебных слов, которые используются почтовым программным обеспечением для доставки сообщения адресату. Например, ключевое слово Date: и следующая за ним дата отсылки письма является обязательным атрибутом любого письма. И точно так же, как подвергся анализу текстовый файл формата MSWord, мы можем подвергнуть пристальному изучению это электронное сообщение, подставив, к примеру, другую дату отсылки письма или изменив приветствие и подпись .

Собственно говоря, все приведенные примеры и недостатки и есть ответ на вопрос, почему почти никто не пользуется методом однократного гаммирования - все зависит от того, как именно это делается и какими ресурсами обладает пользователь шифросистемы.


Использование открытых стандартов для интеграции средств защиты разных производителей


Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня.

Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности.

Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.

Более подробную информацию вы можете найти на сайте корпорации Uni:


Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети.

Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов.

Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу.

В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:

Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan). Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:

CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки, UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений, LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1, OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.

Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.

Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.

Более подробную информацию вы можете найти на сайте корпорации Uni:



Использование протокола ODBC


Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.



ИСТОРИЧЕСКИЕ ЗАМЕТКИ


История стеганографии - это история развития человечества.

Местом зарождения стеганографии многие называют Египет, хотя первыми "стеганографическими сообщениями" можно назвать и наскальные рисунки древних людей.

Первое упоминание о стеганографических методах в литературе приписывается Геродоту, который описал случай передачи сообщения Демартом, который соскабливал воск с дощечек, писал письмо прямо на дереве, а потом заново покрывал дощечки воском.

Другой эпизод, который относят к тем же временам - передача послания с использованием головы раба. Для передачи тайного сообщения голову раба обривали, наносили на кожу татуировку, и когда волосы отрастали, отправляли с посланием.

В Китае письма писали на полосках щелка. Поэтому для сокрытия сообщений, полоски с текстом письма, сворачивались в шарики, покрывались воском и затем глотались посыльными.

Темное средневековье породило не только инквизицию: усиление слежки привело к развитию как криптографии, так и стеганографии. Именно в средние века впервые было применено совместное использование шифров и стеганографических методов.

В XV веке монах Тритемиус (1462-1516), занимавшийся криптографией и стеганографией, описал много различных методов скрытой передачи сообщений. Позднее, в 1499 году, эти записи были объединены в книгу "Steganographia", которую в настоящее время знающие латынь могут прочитать в Интернет.

XVII - XVIII века известны как эра "черных кабинетов" - специальных государственных органов по перехвату, перлюстрации и дешифрованию переписки. В штат "черных кабинетов", помимо криптографов и дешифровальщиков, входили и другие специалисты, в том числе и химики. Наличие специалистов-химиков было необходимо из-за активного использования так называемых невидимых чернил. Примером может служить любопытный исторический эпизод: восставшими дворянами в Бордо был арестован францисканский монах Берто, являвшийся агентом кардинала Мазарини. Восставшие разрешили Берто написать письмо знакомому священнику в город Блэй. Однако в конце этого письма религиозного содержания, монах сделал приписку, на которую никто не обратил внимание: "Посылаю Вам глазную мазь; натрите ею глаза и Вы будете лучше видеть". Так он сумел переслать не только скрытое сообщение, но и указал способ его обнаружения. В результате монах Берто был спасен.

Стеганографические методы активно использовались и в годы гражданской войны между южанами и северянами. Так, в 1779 году два агента северян Сэмюэль Вудхулл и Роберт Тоунсенд передавали информацию Джорджу Вашингтону, используя специальные чернила.

Различные симпатические чернила использовали и русские революционеры в начале XX века, что нашло отражение в советской литературе: Куканов в своей повести "У истоков грядущего" описывает применение молока в качестве чернил для написания тайных сообщений. Впрочем, царская охранка тоже знала об этом методе (в архиве хранится документ, в котором описан способ использования симпатических чернил и приведен текст перехваченного тайного сообщения революционеров).

Особое место в истории стеганографии занимают фотографические микроточки. Да, те самые микроточки, которые сводили с ума спецслужбы США во время второй мировой войны. Однако микроточки появились намного раньше, сразу же после изобретения Дагером фотографического процесса, и впервые в военном деле были использованы во времена франко-прусской войны (в 1870 году).

Конечно, можно еще упомянуть акростихи и другие языковые игры. Однако описать все изобретенные человечеством стеганографические методы нам не позволит объем данной публикации.



История создания криптокарты Fortezza


Технология "Fortezza Cryptographic Card", разработанная вАНБ США, представляет собой стандартное устройство PC-card (раньше этостандарт назывался PCMCIA), предназначенное для реализации аутентификациии шифрования в соответствии со стандартами правительства США. Карты Fortezzaприменяются в системе электронной связи Defence Message System (DMS) МОСША, в поисковой системе Intelink разведывательного сообщества правительстваСША, использующей технологии WWW, а также в других правительственных системах[5].

Работы по созданию Fortezza были начаты в 1991 году в рамках программыPre Message Security Protocol (PMSP) [6]. Перед специалистами АНБ былапоставлена задача разработать технологию защиты информации, не имеющейгрифа секретности, но являющейся служебной тайной организации. Первоначальнойцелью этого проекта являлось создание недорогого устройства, выполненногов стандарте "smart card" и обеспечивающего: целостность данных,шифрование данных, идентификацию и аутентификацию источника данных. Кромеэтого, необходимо было предусмотреть возможность совместимости с существующимистандартами (например, с протоколом распространения ключей X.509), обеспечитьработу мобильных пользователей, предоставить средства расширяемости архитектурыдля поддержки потенциально большого числа пользователей (до 4-х миллионов).Первоначальными областями применения технологии Fortezza виделись защитаэлектронной почты и другого электронного информационного обмена, осуществляемогопо открытым каналам связи, а также контроль доступа к системам и их компонентам.

За время развития технология несколько раз меняла свое название. Какуже говорилось, в 1991 году программа Fortezza называлась Pre Message SecurityProtocol, а само криптографическое устройство разрабатывалось в соответствиисо стандартом "smart card". В 1993 году название программы былоизменено на "MOSAIC", тип криптографического устройства измененна PC Card, а сама PC-карта получила название "Tessera Crypto Card".Затем, в 1994 году, программа была влита в объединенный проект АНБ и Агентстваинформационных систем МО США (DISA) Multi-Level Information Systems SecurityInitiative (MISSI). После этого название технологии было изменено на "Fortezza"и PC-карта переименована в "Fortezza Crypto Card".

Технология Fortezza обладает двумя важными свойствами, делающими возможнымее широкое распространение (если только это распространение не оказываетсяв сфере действия экспортных ограничений). Первым таким свойством является"персонализация" средств обеспечения безопасности. Каждый пользовательснабжается индивидуальным криптографическим устройством, PC-картой. ЭтаPC-карта содержит уникальную для каждого конкретного лица ключевую информациюи связанные с ней данные, а также выполняет заложенные в нее криптографическиеалгоритмы. Создатели карты Fortezza проделали большую работу по разработкесложной системы генерации, распределения и управления криптографическимиключами. Особое внимание было уделено контролю целостности данных картыи распространению требуемой криптографической и системной информации.

Вторым свойством является наличие открытого прикладного программногоинтерфейса (API). Аппаратные и программные спецификации карты разрабатывалисьс учетом требований к открытой системе. Это позволяет осуществлять простуюинтеграцию технологии Fortezza в большинство аппаратных платформ, коммуникационныхсредств, операционных систем, пакетов прикладных программ и сетевых протоколови архитектур. Кроме этого, подход Fortezza избавляет разработчиков программныхсредств от необходимости встраивать в прикладные программы сложные криптографическиеподсистемы. Достаточно воспользоваться PC-картой Fortezza, которой можноуправлять через API CI_Library [7].



История версий


Версия 0.3, 1 января 1999 года

Небольшие изменения

Версия 0.2, 1 ноября 1998 года

Небольшие изменения

Версия 0.1, 1 августа 1998 года

Первая версия



Изначальная конфигурация.


Изначально МЭ не содержит никаких сетевых

пользователей, все сетевые сервисы закрыты. В первую очередь

необходимо в соответствии с политикой безопасности сети определить

защищаемый интерфейс, правила приема/передачи электронной почты.

По умолчанию системный журнал сконфигурирован таким образом, что

в него записываются:

сообщения ядра

сообщения о состоянии файловой системе

все попытки доступа ко всем сетевым сервисам

все факты использования МЭ

все факты, связанный с аутентификацией пользователей

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

адрес инициатора соединения

адрес удаленной стороны

время события

начала сессии

конец сессии

количество переданных байт

количество принятых байт

использование тех или иных специальных параметров протокола

результаты аутентификации пользователя

попытки смены пароля и иного общения с системой авторизации

Для защиты самого МЭ используются следующие механизмы:

ограничение доступа по узлам файловой системы (UNIX chroot)

отсутствие пользователей на МЭ

система контроля целостности программ и ключевых файлов

Управление пользователями МЭ позволяет:

определить способ аутентификации для каждого пользователя отдельно

создавать группы пользователей

определять для каждого пользователя/группы время работы

определять для пользователя/группы использование тех или иных протоколов

в зависимости от времени суток, адреса источника и destination.

определять по правилам предыдущих пунктов возможность использования

конкретных параметров и управляющих директив протоколов.

устанавливать для пользователей право изменения пароля

МЭ поддерживает два основных режима работы - прозрачный и обычный.

при использовании обычного режима порядок действий пользователя для

соединения с машиной по другую сторону МЭ выглядит следующим образом:

соединяется с МЭ

проходит авторизацию (в зависимости от политики безопасности)

дает команду proxy на соединение с удаленной машиной

Второй пункт обычно используется в случае доступа со стороны открытой

сети, доступ изнутри наружу может быть разрешен без дополнительной

авторизации. Работа в прозрачном режиме выглядит так:

дается команда на соединение с внешней машиной

авторизация

Т.е. при доступе из сети, не требующей авторизации, пользователь просто

соединяется куда пожелает, и наличие МЭ ему не видно.

При работе в любом режиме действуют все правила, определенные администратором

МЭ



Известные свободно распространяемые проекты


Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.



Январь


Первая проблема возникла

в самую первую секунду года. Добавление лишней секунды создало

трудности для программного обеспечения, управляющего распространением

единого всемирного времени из Национального института стандартов

и технологий (NIST) США. Лишняя секунда заставила добавить к дате

целый лишний день (см. ). Подождите до 2000

года, если хотите увидеть настоящие проблемы, связанные с календарями

и часами.

С начала января и до конца

февраля во всем мире продолжали критиковать запрет на доступ через

CompuServe к двумстам телеконференциям Usenet, наложенный в конце

1995 года в качестве дикой, явно неадекватной реакции на запрос

баварского прокурора по поводу информации о телеконференциях,

незаконных с точки зрения действующего в южных землях Германии

законодательства. CompuServe, неспособный закрыть доступ к этим

телеконференциям для части своих пользователей, "поставил

шлагбаум" для всех 4 миллионов подписчиков во всем мире.

К концу февраля было реализовано выборочное блокирование, позволившее

отключить от крамольных телеконференций только заданные географические

области. Пикантность ситуации со всеми этими запретами состоит,

однако, в том, что существуют общеизвестные методы доступа к телеконференциям

Usenet по электронной почте. В более широком плане можно вывести

следующую мораль: наблюдается растущая тенденция налагать местные

(провинциальные или национальные) ограничения на доступ к тем

или иным частям Интернет. (Более детальную информацию можно найти

в ).

В начале года в "Wall

Street Journal" было опубликовано сообщение о том, что первое

санкционированное судебными властями прослушивание коммерческого

поставщика Интернет-услуг привело к аресту трех лиц по обвинению

в мошенническом использовании услуг сотовой связи. Эти лица рекламировали

свою деятельность через CompuServe (см. "Wall Street Journal",

2 января 1996 года, с. 16).

22 января по немецкому

телевидению выступил член компьютерного клуба "Хаос"


(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные

с передачей в открытом виде по системе T-Online персональной банковской

информации. Хакер (между прочим, не криминальный хакер) подключился

к домашней телефонной линии, воспользовавшись незапертой коммутационной

панелью в подвале жилого дома. Он перехватил идентификатор и персональный

идентификационный код пользователя, после чего разорвал соединение

и немедленно перевел сумму в 5 тысяч немецких марок на другой

счет. Прежде чем провести публичную демонстрацию, члены клуба

"Хаос" предупреждали банкиров и их клиентов, что во

всей коммуникационной сети финансовых учреждений, начиная с настольных

систем, данные должны передаваться в зашифрованном виде (см. ). Должен отметить, что я встречался с одним из ведущих членов

компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на

меня произвела глубокое впечатление его несомненная приверженность

некриминальному хакерству. Я надеюсь, что все большее число криминальных

хакеров будут следовать примеру членов клуба "Хаос",

выбирая для себя ответственный, цивилизованный стиль поведения.

Matt Blaze, Whitfield

Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric

Thompson и Michael Wiener опубликовали доклад "Минимальная

длина ключа при симметричном шифровании, обеспечивающая адекватную

безопасность коммерческих систем". Авторы утверждают, что

симметричное шифрование с длиной ключа 40 бит более не способно

противостоять атакам методом грубой силы, и даже 56-битные ключи

на самом деле не могут считаться надежными. Для современных систем

настоятельно рекомендуется минимальная длина ключа в 75 бит. С

учетом роста вычислительной мощности в ближайшие 20 лет, нужны

как минимум 90-битные ключи. Полный текст этого доклада доступен

по адресам (формат

PostScript) и

(ASCII-формат).

Еще несколько сообщений

от группы NCSA IS/Recon:

В Нидерландах разразился

политический скандал, связанный с обвинениями в прослушивании



в центральном банке. Вся деятельность персонала контролировалась

без уведомления или получения разрешения.

Гражданин России Алексей

Лачманов признал себя виновным в участии в "электронном ограблении"

Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном

математиком и криминальным хакером из Санкт-Петербурга Владимиром

Левиным.

Dan Farmer, автор

программы SATAN, проверяющей безопасность систем, подключенных

к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую

и стандартную версии операционной системы (что может быть полезным

для идентификации заплат и выявления внедренного вредоносного

программного обеспечения). Характерно, что новую программу он

назвал "FUCK". Вероятно, ни один из пользователей сети

America Online (AOL) не сможет обратиться к этой программе по

имени в силу действующей там автоматической фильтрации непристойностей...

Ассоциация британских

страховых компаний выпустила доклад, в котором утверждается, что

компьютерная преступность наносит индустрии ежегодный ущерб в

сумме около 1 миллиарда фунтов.

Barry Jaspan нашел

ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает

возможность пользователям извлекать из памяти секретные RSA-ключи,

что компрометирует всю систему безопасности компьютера. Для выявления

"дыры" потребовалось 20 минут, и это наводит на мысль

о большом числе оставшихся ошибок, которые Барри мог бы найти,

будь у него еще немного времени.

Представители Lotus

объявили, что в продукте Lotus Notes теперь будут использоваться

составные ключи, позволяющие правительству расшифровывать информацию,

циркулирующую в рабочих группах. Защитники права на персональную

тайну предупреждают, что данное действие является отходом от оппозиции

к инициативе администрации Клинтона по внедрению составных ключей.

Напомним, что инициатива президентской администрации получила

негативную оценку в промышленных кругах.

Компания MCI объявила,

что с этого времени она будет закрывать счета пользователей, засоряющих

Интернет (то есть посылающих невостребованные письма большого

размера или заполняющих телеконференции неподходящими сообщениями).

Наблюдатели гадают по поводу того, кто будет решать, какие сообщения

подпадают под действие этих расплывчатых правил.


Языки описания уязвимостей и проверок


Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).

Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).

В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing).

Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:


# Секция описания сервисов: На анализируемом узле найден netstat

port 15 using protocol tcp => Service:Info-Status:netstat

Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.

# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.

(scanfor "SuperApp 1.0" on port 1234) (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003

Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).

Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.

Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.


Эксперты дискутируют о настоящем и будущем систем обнаружения атак


Computer Security Journal vol. XIV, #1

Ричард Пауэр (Richard Power)

перевод Алексея Лукацкого, НИП "Информзащита"

Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии.

Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.



Электронные подписи и временные метки


Электронная подпись позволяет проверять целостность данных, но не обеспечивает их конфиденциальность. Электронная подпись добавляется к сообщению и может шифроваться вместе с ним при необходимости сохранения данных в тайне. Добавление временных меток к электронной подписи позволяет обеспечить ограниченную форму контроля участников взаимодействия.

ТипКомментарии
DSA (Digital
Signature Authorization)
Алгоритм с использованием открытого ключа для создания электронной подписи, но не для шифрования.

Секретное создание хэш-значения и публичная проверка ее - только один человек может создать хэш-значение сообщения, но любой может проверить ее корректность.

Основан на вычислительной сложности взятия логарифмов в конечных полях.

RSAЗапатентованная RSA электронная подпись, которая позволяет проверить целостность сообщения и личность лица, создавшего электронную подпись.

Отправитель создает хэш-функцию сообщения, а затем шифрует ее с использованием своего секретного ключа. Получатель использует открытый ключ отправителя для расшифровки хэша, сам рассчитывает хэш для сообщения, и сравнивает эти два хэша.

MAC (код
аутентификации сообщения)
Электронная подпись, использующая схемы хэширования, аналогичные MD или SHA, но хэш-значение вычисляется с использованием как данных сообщения, так и секретного ключа.
DTS (служба
электронных временных
меток)
Выдает пользователям временные метки, связанные с данными документа, криптографически стойким образом.



Элементы защиты от несанкционированного доступа


IP Spoofing - способ воздействия на элементы сетевой инфраструктуры или получения не авторизованного доступа. В этом случае взломщик подменяет IP адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Для примера, пакеты, порожденные в Интернет, могут выглядеть как локальные пакеты. FireWall-1 защищает от подобного рода воздействий, легко распознает такие попытки и сообщает о них оператору.

Denial of Service Attack - использует слабости TCP протокола. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. Получив такое подтверждение, клиент посылает уведомление о начале передачи данных – пакет, в TCP заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), например, на несуществующий в Интернет, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак.

Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Таким образом, шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры тоже не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-1 предлагает встроенную защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений и используя механизм SYNDefender.

Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто связано с появлением новых видов атак. Так, большинство ОС чувствительны к PING (ICMP), размер поля данных которых больше, чем 65508. В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64k (длинна заголовка составляет 28 байт) и, как правило, не могут правильно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.

FireWall-1, обладая механизмом Stateful Inspection, может осуществлять защиту от таких атак, для чего необходимо определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP пакетов, длиннее 64K.

[ZEBR_TAG_a name="stealth the firewall"



Этапы сканирования


Практически любой сканер проводит анализ защищенности в несколько этапов:

Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).

Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.

Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.

В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:

Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.

Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check". Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы. Все из вышеназванного.