Сеть и Безопасность: Время сетевых соглядатаев

С чего начать?! С вирусов и взломов или со скандалов?! Прошедшая неделя не была бурной, однако назвать ее безмятежной однозначно нельзя. Начнем по старой доброй традиции с вирусов. В продолжение истории с вирусом Jac, появившимся на прошлой неделе, главной особенностью которого являлась нацеленность на Linux, на этой неделе достаточно громко прозвучала новость о том, что было выпущено одно из первых руководств по разработке вирусов для среды Linux. Кстати, сам Jac был остановлен своей же "неспособностью" размножаться и вести экспансию на другие машины - в этом заключается специфика всех Linux-вирусов, существующих на сегодняшний день. Однако с появлением эдакого учебника для чайников, который больше похож на некий концептуальный текст на тему "что, как и почему", может начаться эпоха, когда вопросы о безопасности систем, особенно таких "распределенных", как Linux, будут рассматриваться более радикально.

Также громом среди ясного неба прозвучало признание представителей Network Solutions, подразделения Verisign, что часть зарегистрированных доменов, которые администрирует данная компания, а именно тех, которые находятся в статусе "under construction", при запросе выдавала довольно занятную надпись "Did Web Pirates domain your domain?". Именно таким циничным способом была скомпрометирована система. Сама корпорация сослалась на то, что скомпрометированный участок отдан на аутсорсинг другой фирме, однако некоторые клиенты были недовольны, особенно те, которые в этот момент решили открыть после окончания разработки свой веб-сайт: например, такая история случилась с веб-сайтом Техасской Технологической Конференции. Сразу после инцидента раздались возгласы недовольных клиентов, которые справедливо спрашивали о том, в какой же степени можно осуществлять аутсорсинг и где лежит граница ответственности компании, с которой они имеют дело.

Интересным оказалось проведенное недавно исследование результаты которого были оглашены на минувшей неделе: оказалось, что больше всего серверов, с которых начинаются атаки, расположено в США, Корее, Китае. Это отнюдь не говорит о развитии национальных сообществ хакеров, а скорее, повествует о том, в какой стране находится наиболее незащищенная сетевая инфраструктура. С другой стороны, в США Сеть больше всего развита и распространена. Кстати, как забавно это ни прозвучит, наиболее потенциальными целями взломов оказываются те подсети, сервера и страны совокупно, которые имеют каналы с большой пропускной способностью. С них, как захваченного плацдарма, осуществляется атака на конечную цель взлома. Статистика же выглядит следующим образом: США - 49%, Южная Корея - 17% Китай - 15%, так что "эволюция", как говорится, налицо.

Шумиха была поднята также на этой неделе по поводу опасностей для пользователя при использовании IRC и IM, впрочем, как бы это ни раздражало некоторых, такая информация, запущенная экспертной структурой и растиражированная средствами массовой информации, весьма полезна. Не секрет, что системы IM весьма популярны, при этом достаточно "дырявы", поэтому в случае заражения период преодоления критической массы заражений и начала "эпидемии" очень краток. Закачать же вредоносную программу можно, используя методы социальной инженерии: пользователь в общении посредством IM все еще открыт ко всему новому и очень доверчив. И если он научен горьким опытом заражения вирусами e-mail, то в области IM он может и не догадываться, что он, возможно, является "винтиком" широкомасштабной DDoS атаки. Очень часто важную конфиденциальную информацию (вплоть до паролей) пересылают через IM. Другой опасностью является то, что системы IM обеспечивают доступ к массе пользователей, чья конфиденциальная информация может представлять огромный интерес для взломщика или стоящих за его спиной третьих лиц. Тем более, что написать программу для автоматической рассылки "предложений о сотрудничестве" не представляет особого труда для взломщика. Поводом для выхода данного предупреждения стали не домыслы CERT, а та тенденция, которую уловили в последнее время исследователи.

Тем временем анализ активности создателей вредоносных программ говорит о том, что они расширяют количество подцелей, чтобы вызвать наибольшее количество заражений после того, как атака была успешно выполнена. Например, червь Gibe, распространявшийся совсем недавно, обращался к серверам yahoo.com для того, чтобы "поймать" имя пользователя, захватить ящик веб-почты и оттуда продолжить свое распространение. Из-за этого он удваивал свой потенциал, хотя именно этот вирус не стал массовым по причине некоторых ошибок в коде. Все это говорит о том, что безопасность становится чуть ли не общим делом, так как, если заражена твоя машина, опасность заражения грозит твоим коллегам и друзьям. Часто одна ошибка рушит всю систему защиты той или иной компании или группы людей.

Другое исследование показывает, что компании демонстрируют "реактивное" отношение к появлению любой бреши в системе безопасности их сетевой инфраструктуры. Между тем, треть кампаний декларировала, что за минувшие два года в среде их инфраструктуры была найдена, как минимум, одна брешь. При этом 71% указали, что основным мотивом "купить и установить что-то как можно быстрее" была боязнь потерять репутацию, 60% - боязнь перед финансовыми потерями. Также оказалось, что планы и регламенты по безопасности составляются и обновляются раз в год, что не делает их гибкими и адаптивными, и что в корпорациях до сих пор превалирует "технологический" подход к безопасности. Это весьма показательно, тем более, что показатели по некоторым регионам просто шокируют: например, в Японии 50% компаний не имеют подразделения сетевой безопасности, а 30% не используют даже межсетевой экран для защиты своей подсети.

Также на этой неделе появилась информация о том, что небезызвестная Network Associates собирается купить 25% McAfee, выплатив 208,9 миллионов долларов за данный пакет акций. Как видно, упорядочивание активов корпорации продолжается, при этом главной целью ставится "выпрямление" структуры компании: от "целостности" будущей стратегии до увеличения дохода. Это и понятно, - доля доходов от деятельности McAfee, полученных за последнее время, высока в структуре доходов Network Associates. По другим данным, Network Associates готова выложить 227 миллионов долларов за оставшийся пакет акций, ибо продукция McAfee является наиболее востребованной рынком, а последние тенденции позволяет надеяться, что McAfee станет рыночным "локомотивом" для Network Associates, которая в последнее время активно реструктурируется.

Среди других новостей можно отметить тот факт, что оборонное ведомство США ведет тщательное изучение продуктов Windows на предмет их открытости, наличия backdoor и иных инструментов удаленного доступа. Корпорация eBay меняет свою политику в отношении privacy: если до этого компания могла делить частную информацию в случае судебного разбирательства или только в отношении вопросов интеллектуальной собственности, то в новой версии информация распространяется между всеми участниками легального разбирательства. Такое небольшое изменение вызвало некоторый всплеск эмоций, поэтому компания повернула все "начинания" назад, заявив, что все еще работает над окончательным вариантом Privacy Policy. Symantec в одном из своих списков рассылок случайно, как указала компания, по причине человеческой ошибки, приоткрыла приватную информацию. Как говорится, "с кем не бывает?!". Тем временем EPIC (Electronic Privacy Information Center) требует, чтобы ей был предоставлен план министерства транспорта США по мониторингу пассажиров. Причем делает это в судебном порядке.

Несмотря на то, что сужению кольцу вокруг privacy оказывается весомое сопротивление, - уже сейчас очевидно, что США готовы к тому, чтобы "наступило золотое время для слежки". Хотя многие отмечают, что, выделив огромные деньги и собирая крупные массивы данных, правительство объективно не улучшает общий режим безопасности. Также делается все, чтобы сделать преследование преступников, которые не знают границ, глобальным. Однако та быстрота и однозначность, с которыми принимаются решения о том, как трактовать, судить и наказывать киберпреступников, настораживает. В настоящее время это является развивающейся практикой, и от того, в какую сторону будет взят "крен", будет многое зависеть в ближайшем будущем. Тем более, что такие факты, как DIRT, говорят о том, что уже сейчас этой системе нужен "противовес". Ситуация, когда все следят за всеми, не выделяется своим позитивом - бесконтрольный мониторинг опасен и губителен для всего сетевого и околосетевого сообщества. И пускай это похоже на маркетинговую игру со многими степенями свободы, если системы интерактивного слежения станут доступны каждому, то что же будет дальше?!

Лучшие же представители сетевого сообщества пока обсуждают, как им формализовать и сделать единым процесс раскрытия информации об уязвимостях и выпуска патчей. Понятно, что позиции экспертов-исследователей и продавцов программного обеспечения существенно различаются. Дискуссия разгорается и разговор, кажется, только в самом начале, при этом некоторые корпорации в силу определенных причин создают собственные "экспертные" советы, затягивая принятие решения. Так что противостояние "информационной анархии" и "монополизма, ведущего к закрытию информации о дырах" продолжается. Будут ли продавцы ПО более ответственными или ими все-таки будет продавлена практика вальяжного отношения к безопасности своих продуктов, станет яснее в ближайшие полгода. Пока в ближайшей перспективе окончательного выхода не видно, в свою очередь, также нельзя признать, что продукты open source представляют более безопасную "альтернативу".

Поделиться

Короткая ссылка