Спецпроекты

Телеком Интернет Безопасность Цифровизация Бизнес-приложения Веб-сервисы

Сеть и Безопасность: Кусачий клещ, дырявые заплатки к MS IE, и примитивные пароли

Ефим Осипов
Net Security News Klez.h никак не уймется. Именно под такими заголовками распространяется информация о вирусе, который беспокоит пользователей Сети уже не первый месяц. Он то утихает, то всплывает опять и начинает распространяться со страшной силой. Его распространение, а также пересылка предупреждений от антивирусных компаний на адреса пользователей, от имени которых идут зараженные письма, утяжеляют и без того нагруженный трафик. Забавно то, что сам вирус иногда подделывает адрес, с которого он рассылается, поэтому предупреждение в большей степени превентивно предупреждает пользователя об опасности заражения, нежели оперативно извещает, что его машина заражена. К тому же он находит адреса для рассылки случайно на всем дисковом пространстве, а не только в адресной книге клиента, и рассылает случайным образом найденные файлы для того, чтобы их прикрепить к рассылаемым письмам. Антивирусные компании отмечают, что, по большому счету, вирус трудно засечь: адреса подделываются, поэтому локализовать его при помощи прямого контакта с польз

Впрочем, это уже известно, кому недавно, кому - давно. Кстати рассылка червя Klez.h через списки Государственного Департамента США позволила службе информационной безопасности найти дыру, которая позволяла каждому получателю отправлять письма другим подписавшимся пользователям, минуя фильтр предварительного мониторинга. Кстати, правительство Соединенного Королевства выделило 1 миллион фунтов стерлингов на защиту своей почты, заключив годичный контракт с MessageLabs.

Возвращаясь к Klez.h, следует заметить, что сам факт того, что вирус добрался до Госдепа США, говорит о том, что полное уничтожение вирусов - задача невыполнимая, даже "задушенные", они "тлеют" где-то в Сети, и даже при небольшом ослаблении защиты вырываются наружу. Все это еще раз доказывает, что безопасность складывается из так называемых частных "проявлений" безопасности, а привнесение ее сверху - это сложная, опасная и противоречащая "духу" Сети задача.

Поэтому, если пользователь приобщен к сообществу или определенному кругу переписки, то он зависит от этого сообщества в плане безопасности в той же мере, в какой сообщество зависит от него. Например, уже не в первый раз слышно о том, что системы р2р распространяют своего рода троянские программы, которые либо используют машины пользователя, либо нагружают его дополнительным рекламным контентом. На этот раз прошел последний вариант - под именем Benjamin в сети обмена файлами Kazaa. По этой причине следует брать в расчет, что среда р2р может быть небезопасна, равно как и контрагенты, с которыми обменивается информацией пользователь. Кстати, автор этого червя заявил, что вирус идеологически направлен против тех, кто обменивается пиратскими версиями файлов, а также теми, кто ищет детскую порнографию. Может, дело это и благое, что спорно, в конечном счете, да только методы - явно не те.

Тем временем, в конце недели горячей новостью стала информация о распространении нового червя, который атакует сервера MS SQL и которому уже было дано название SQLSnake. Заражение коснулось части машин, у которых по умолчанию пароли системного администратора являются пустыми. Вирус рассылается другим уязвимым машинам, а найдя другие пароли пользователей, он высылает их по определенному адресу. Несмотря на то, что патч к этой дыре появился на веб-сайте разработчика еще 17 апреля, многие машины были заражены, хотя смягчающим обстоятельством является сравнительно небольшая распространенность MS SQL. Кроме конфиденциальной информации, при помощи вируса передается информация о конфигурации системы, впрочем, мотивы этого заражения не до конца ясны. Скорее всего, так можно рассчитать внимание, точнее невнимание администраторов, период охвата и время реакции, хотя следует учесть, что любая атака или заражение по-своему уникальны.

Гораздо в больше мере Microsoft досталось в связи с последним "могучим" кумулятивным патчем к MS IE: в самом патче была обнаружена новая уязвимость, схожая с той, которую он якобы закрывал. По всей видимости, проблема изначальной уязвимости принципиально не решена, т.е. лечится не болезнь, а скорее, ее проявления, число которых - как минимум, шесть. Так что проблемы остаются, а пользователю приходится только ждать, когда дыра в среде MS IE будет решена окончательно и принципиально. Как всегда, между аналитиками и корпорациями завязалась небольшая "словесная перепалка", только вот пользователю от компетентности одних и некомпетентности других никак не легче.

Также на этой неделе появилась информация о том, что персональные данные о 13000 клиентов американского отделения компании Ford, в том числе кредитные истории и номера социального страхования, были украдены из электронных баз данных. О кражах стало известно в феврале этого года, а начались они, согласно данным предварительного расследования, в апреле прошлого года. Корпорация известила своих клиентов о необходимости действий защитного характера. Кстати, такое "тихое" взламывание базы данных было открыто лишь по причине того, что хакеры использовали программное обеспечение, отличное от ПО, используемого аутсорсерами и самим Ford.

Возвращаясь к другим громким историям взломов, а именно к подтасовке на голосовании владельцев акций франко-американской транснациональной корпорации Vivendi, следует отметить, что в ходе расследования вряд ли удастся найти "источник угрозы", хотя все говорит о том, что он находится внутри компании, т.к. для такого взлома было необходимо точное знание устройства системы. Вообще-то, многие компании действуют по старинке, осуществляя голосование при помощи простых бумажных средств. Установка электронных систем - это дань "технологичной" моде и, с другой стороны, попытка сделать электронными все процессы внутри компании. Также можно сделать вывод, что электронный саботаж имеет место не только там, где хромает безопасность, но и там, где разгорается внутрикорпоративный конфликт интересов, т.е. конкуренция чего-либо вообще. Налицо некая закономерность, завершить триумвират которой можно третьим элементом - ценностью информации.

Часто ценная информация в электронном виде защищена только паролем. Ирония заключается в том, что от длины и сложности пароля зависит гораздо больше, чем кажется на первый взгляд. До 30% паролей средней по своим меркам системы взламывается в течение нескольких часов. Цена такого взлома гораздо ниже, нежели ценность информации, которая становится доступна после осуществления взлома. Ни простые имена, даже вместе с цифрами, ни более замысловатые вариации в виде сложных слов не спасают от "словарного" перебирания вариантов (так называемый brutal force search).

Поэтому действует правило: чем длиннее, необычнее и нестандартнее пароль, - тем лучше. Речь идет о, как минимум, 8 символах, при этом желательно использовать необычные комбинации, в том числе заглавные символы, цифры, подобранные случайным образом. Даже в асимметричном шифровании от пароля пользователя зависит почти все, поэтому пароль этот в тех же веб-решениях передают закрыто, а авторизацию всячески ограничивают. Пароли в виде wX%95qd! или fD!Fg7a. обладают достаточной стойкостью, а пароль в виде wX%95qd!fD!Fg7a плюс пару нечитаемых символов был бы удачным, или, как говорят некоторые специалисты, "это уже что-то". А вообще, как отмечают эксперты, слабые пароли корпоративных и индивидуальных пользователей - это беда. И пока и первые, и вторые не сформулируют для себя хотя бы минимальный свод правил, какими должны быть пароли, как с ними обращаться и кому их можно доверять, ситуация явно не улучшится. Пока же всякие вещи в виде замены паролей картинками или биометрическими данными подвергаются справедливой критике, т.к. во-первых, не являются панацеей, а, во-вторых, недоказуемы как надежные.

Возвращаясь к вопросам privacy и ее регулирования публичными органами США, следует отметить, что первоначальные ожидания по новому законопроекту не оправдались: новый законопроект, мягко выражаясь, был принят в штыки. Не устраивает корпорации многое: противоречивость акта, а также новые обязательства перед потребителями, например, обязательное разрешение потребителя на сбор его персональной информации, а именно медицинских, финансовых, религиозных данных. Также их устрашает возможность подачи исков по нарушению privacy, которые якобы "разорят всю отрасль". Не менее жаркие споры вызывают предложения наказывать спам штрафом в 1,5 миллиона долларов или годом лишения свободы (интересно, это как?). Также всю ситуацию усугубляет "подковерная" борьба внутри Сената, лоббирование интересов и взаимные уступки групп, контролирующих законодательный процесс в этом конкретном случае. Да и в сам вопрос вмешиваются другие, например, в вопрос финансирования правительственных агентств на нужды информационной безопасности в размере 880 миллионов долларов, которое уже ближе к концу недели увеличилось до 970 миллионов долларов. Деньги якобы пойдут в том числе и на создание стандартов безопасности для федеральных органов, однако без участия частного коммерческого сектора никак не обойтись.

Тем временем, как показывает практика, сами корпорации не способны или не желают менять свое отношение к privacy: например, политика Hotmail меняется и тем самым вызывает опасения пользователей. Для открытия аккаунта необходимо обязательно указать свои персональные данные, которые никто не скрывает и которые могут стать доступными другим корпорациям, как и данные из системы паспортов пользователя Microsoft. И пусть пользователь может "вычеркнуть" ненужную информацию из "общедоступной" - самой корпорации-гиганту становится слишком много известно о своих пользователях.

С другой стороны, в деле защиты privacy иногда возможны компромиссы, хотя где тут провести границу дозволенного, остается неизвестным. На этой неделе Сенат США, например, одобрил законопроект по слежению Child Sex Crimes Wiretapping Act. Дело, конечно, это важное - следить за сетевыми соблазнителями юных дарований, но как ограничить и контролировать этот процесс? Ведь мониторинг теряет смысл, если он не охватывает всN, какие же "словарные" фильтры будут установлены - это уже проблема управления.

Еженедельные обозрения на CNews.ru

Редакция готова рассмотреть к публикации материалы (статьи, описания систем/продуктов/услуг), подготовленные специалистами вашей компании, для публикации в следующих обозрениях:

  • Рынок корпоративного ПО
  • Информационная безопасность
  • Digital Life (цифровые устройства, hardware)
  • Рынок телекоммуникаций;
  • Неделя в Сети (интернет-бизнес).

Ждем Ваши предложения и заявки по этому адресу.

Короткая ссылка