Глава 8. Сетевая безопасность
В первые десятилетия своего существования компьютерные сети в основном использовались научными сотрудниками в университетах для отправки электронных писем и офисными работниками для общего доступа к принтеру. В таких условиях вопросам безопасности не уделялось большого внимания. Но теперь, когда миллионы людей совершают покупки, управляют банковскими счетами и заполняют налоговые декларации в интернете, проблема безопасности воспринимается очень серьезно (учитывая, что за это время были обнаружены многочисленные уязвимости). Мы рассмотрим эти вопросы с разных точек зрения, укажем на подводные камни и обсудим алгоритмы и протоколы, повышающие сетевую безопасность.
Исторически взлом сетей существовал задолго до появления интернета. Правда, атакам тогда подвергалась телефонная сеть, а вмешательство злоумышленников в работу сигнального протокола называлось телефонным фрикингом (phone phreaking). Это явление возникло в конце 1950-х годов и получило широкое распространение в 1960-е и 1970-е годы. В те дни авторизация и маршрутизация звонков еще были «внутриполосными»: для управления коммутаторами телефонная компания передавала звуки определенной частоты в том же канале, в котором осуществлялась голосовая связь.
Джон Дрейпер (John Draper), один из самых известных телефонных фрикеров и весьма неоднозначная личность, в конце 1960-х годов обнаружил, что игрушечный свисток из коробки кукурузных хлопьев Cap’n Crunch издавал звук с частотой 2600 Гц, которая, как оказалось, также использовалась компанией AT&T для авторизации междугородних звонков. С помощью свистка Дрейпер мог звонить по межгороду бесплатно. Позже он получил прозвище Капитан Кранч (Captain Kranch). На основе свистка Дрейпер создал так называемую синюю коробку — устройство для взлома телефонной системы. В 1974 году Дрейпер был арестован за неуплату услуг телефонной связи и отправился в тюрьму. Однако его пример все же успел побудить еще двух пионеров информационных технологий из окрестностей Сан-Франциско, Стива Возняка (Steve Wozniak) и Стива Джобса (Steve Jobs), к тому, чтобы тоже заняться фрикингом и создать собственные «синие коробки». Позже они разработали компьютер Apple. По словам Возняка, если бы не Капитан Кранч, Apple никогда бы не появился на свет37.
Безопасность — весьма обширная тема, включающая множество вопросов, связанных с человеческими пороками. В простейшем случае ее обеспечение сводится к тому, чтобы не позволять чрезмерно любопытным людям читать или, что еще хуже, незаметно менять чужие сообщения. Системы безопасности следят, чтобы злоумышленники не могли нарушить работу базовых элементов сети (BGP или DNS), сделать недоступными ссылки или сетевые службы или получить несанкционированный доступ к удаленным службам. Также они выясняют, что, к примеру, сообщение с требованием оплатить все счета до пятницы действительно отправила налоговая служба, а не мошенники. Системы безопасности имеют дело с проблемами перехвата и имитации легитимных сообщений, а также с пользователями, отрицающими факт отправки ими подобных писем.
В основном проблемы безопасности создают злоумышленники, стремящиеся извлечь выгоду, привлечь к себе внимание или причинить кому-то вред. Несколько наиболее распространенных типов взломщиков перечислены на илл. 8.1. Из этого списка должно быть ясно, что задача обеспечения сетевой безопасности включает в себя значительно больше, нежели просто устранение программных ошибок. Часто стоит задача перехитрить умного, убежденного и иногда хорошо финансируемого противника. Меры, способные остановить случайного взломщика, мало повлияют на серьезного преступника.
В своей статье для журнала ;Login: ассоциации USENIX Джеймс Микенс (James Mickens) из компании Microsoft (впоследствии ставший профессором Гарвардского университета) высказал мысль о том, что следует различать обычных хакеров и, к примеру, опытных агентов спецслужб. Для защиты от заурядных злоумышленников достаточно использовать базовые меры безопасности, продиктованные обыкновенным здравым смыслом. Микенс наглядно демонстрирует это различие:
Если вы имеете дело с Моссадом, вы умрете, и ничто вас не спасет. Тот факт, что вы используете префикс https://, его не остановит. Если Моссаду понадобятся ваши данные, ваш мобильный телефон с помощью дрона заменят на кусок урана в форме телефона. А когда вы умрете от рака, они соберут пресс-конференцию и заявят: «Это были не мы», в то время как на их футболках будет написано «ЭТО ТОЧНО БЫЛИ МЫ». Затем они скупят все ваши вещи и смогут непосредственно взглянуть на фотографии вашего отпуска, вместо того чтобы читать ваши скучные электронные письма о нем.
Этим Микенс хотел сказать, что продвинутые злоумышленники применяют намного более совершенные методы взлома и их очень сложно остановить. Кроме того, как показывает статистика преступлений, наиболее разрушительные атаки часто проводятся затаившими обиду инсайдерами. Следовательно, системы безопасности должны учитывать и этот фактор.
Взломщик
Цель
Студент
Прочитать чужие письма из любопытства
Хакер
Проверить на прочность чужую систему безопасности; украсть данные
Торговый агент
Притвориться представителем всей Европы, а не только Андорры
Корпорация
Разведать стратегические маркетинговые планы конкурента
Уволенный сотрудник
Отомстить фирме за увольнение
Бухгалтер
Украсть деньги компании
Биржевой брокер
Отказаться от обещания, данного клиенту по электронной почте
Аферист
Украсть номера кредитных карт для продажи
Шпион
Узнать военные или производственные секреты противника
Террорист
Украсть секреты производства бактериологического оружия
Илл. 8.1. Типы взломщиков и цели их действий
37 Джон Дрейпер стал одним из первых сотрудников Apple, где разрабатывал программное и аппаратное обеспечение. Является создателем текстового процессора Easy Writer. Сегодня Дрейпер — один из самых известных специалистов в сфере информационной безопасности. — Примеч. ред.