По результатам исследования Global Business Security Index, проведенного компанией IBM, с января по июнь этого года в мире было зарегистрировано около 237 миллионов хакерских атак разной степени успешности.


     Эта цифра почти в два раза превысила показатели за тот же 2004 года. По данным IBM, в декабре 2004 года вредоносные коды содержались в каждом 52 м электронном письме. В июне 2005 года они стали появляться уже в каждом 28 м. Эту тенденцию не могут переломить даже совместные усилия разработчиков ПО, создателей антивирусных программ и крупнейших корпораций, инвестирующих крупные суммы в информационную безопасность.


Техники хакерских атак

     Когда хакер пытается получить несанкционированный доступ к системе, он производит сбор информации (расследование) о своей цели, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость (неправильно заданный набор правил или ошибку в программе, обеспечивающей безопасность компьютера). В систему внедряется некая программа-«агент», реализующая цели своего хозяина. Последняя, в любом виде, — это программный код, запускающийся при определенных условиях.
     В начале своей эволюции компьютерные вирусы, в основном, делились на 2 вида: загрузочные и файловые. Первые заражали загрузочные секторы дискет и запускались только при перезагрузке компьютера, когда система автоматически обращается к диску А. Вторые заражали непосредственно файлы и часто были даже незаметны пользователю.
     Чем больше развивался Интернет, тем больше появлялось разновидностей вирусов, и тем быстрее рос объем хакерских атак. Долгое время первое место по популярности держали сетевые черви, распространявшиеся по электронной почте. Злоумышленников привлекало то, что такие программы очень просты в написании и подразумевают некую психологическую компоненту.

Леонид Волков, СКБ «Контур», заместитель генерального директора

     — Программная и аппаратная системы защиты информации — это две взаимодополняющих системы, и каждая из них используется в различных условиях. Когда мы имеем дело с передачей данных по каналам связи, то оптимальной является криптографическая защита, так как если информация идет не по «нашей» территории, всегда будет существовать вероятность ее захвата, и никакая аппаратная защита тут не поможет.
     Если же речь идет об ограничении доступа к компьютерам внутренней сети компании, то актуальна и аппаратная защита. Электронный ключ, подключаемый к материнской плате, можно сравнить по надежности с замком хорошего сейфа, его взлом невозможен.
     При этом необходимо понимать, что защита должна быть адекватна ценности информации, и аппаратная — всегда значительно дороже, нежели программная. В нашей работе мы сталкивались с необходимостью установки аппаратной защиты, однако это были единичные случаи.


     Несмотря на всеобщую осведомленность, рядовые пользователи продолжают открывать письма, пришедшие с неизвестных адресов, и даже выполнять некие нелепые требования, вроде необходимости установки поддержки японского языка. Подобные поступки вызывают аналогии с открытием коробки, случайно найденной на улице. Последствия сетевых червей могут быть самыми разнообразными, от относительно безвредного вмешательства в работу компьютера — например, злая шутка, когда экран гаснет и выдается сообщение, что отформатирован жесткий диск, до нанесения реального вреда (когда винчестер действительно форматируется или стираются важные файлы) и настоящего преступления (краж номеров кредитных карт, паролей доступа, другой конфиденциальной информации).

Константин Архипов, Panda Software, руководитель российского представительства

     — Количество вирусов для Unix / Linux намного меньше, чем для Windows. Согласитесь, намного интереснее писать вирусы для той ОС, которая установлена на 90% пользовательских ПК, чем для той, что используется на 3—5 %. И пока внимание вирусописателей приковано к Windows, использование Linux делает риск поражения вирусами минимальным. Но надо понимать, что для этого надо использовать Linux везде: и на рабочих станциях, и на файловых серверах. А это может повлечь проблемы другого рода — трудно найти секретаря, который умел бы работать не в Windows, а в Linux, т. е. надо переучивать персонал, и этот процесс непрерывен, пока компания принимает новых людей. Кроме того, могут возникнуть проблемы совместимости офисных пакетов под Linux с форматами файлов MS Office, которым пользуется большинство. Так что перевод компании на Linux требует очень серьезных раздумий и немалых затрат. Если при этом ставится лишь цель сделать компанию неуязвимой для вирусов — лучше купить хорошую антивирусную программу. Это обойдется дешевле.



     Впрочем, в последнее время все больше атак направлено не на массы компьютерных пользователей, а на конкретные объекты. Потому что одно дело — заразить миллион компьютеров по всему миру и украсть с них 50 тысяч номеров кредитных карт, и совсем другое — украсть сразу миллион номеров карт, заразив всего один компьютер.
     Еще один вид вторжения — «логическая бомба» — программа-закладка, внедренная в программный продукт, например, в какое-то специфическое бухгалтерское или банковское программное обеспечение. Одна из таких закладок, обнаруженных Лабораторией Касперского, Virus. Win32, буквально открыла новую эру в истории информационной преступности. Эта программа последовательно обходит все каталоги компьютера и шифрует по особому алгоритму все найденные файлы документов различных форматов, а также почтовые базы данных. В каждом каталоге с зашифрованными файлами появляется файл readme. txt, в котором злоумышленник указывает адрес электронной почты для связи с ним. А затем пострадавшим пользователям предлагается расшифровка данных за определенную сумму. Стоит отметить, что после окончания работы программа-«вымогатель» самоуничтожается, затрудняя борьбу.

1. Злоумышленник засылает вирус через брешь в обороне компьютера.

2. Вирус, попадая на машину, захватывает ее и открывает хакеру доступ к ней

Альтернативы защиты

     Теоретически все компьютерные системы обладают уязвимостью — разница лишь в потенциальном ущербе от атаки через них. Распространенность и доступность большинству пользователей ПК программных продуктов Microsoft стали их главными недостатками. Как известно, имеющиеся в программных продуктах Microsoft «дыры» активно используются хакерами и другими злоумышленниками для проникновения и взлома компьютерных сетей и порождают массу вопросов по обеспечению информационной безопасности организаций и учреждений.
     Эффективность систем безопасности до сих пор во многом зависит от грамотности и профессионализма системных администраторов. А последние все чаще предпочитают строить ее на альтернативных Windows операционных системах семейства UNIX.
     Первоначально подобные ОС использовались преимущественно в качестве основы для построения недорогих маршрутизаторов, Web- и почтовых серверов, но уже сегодня на их базе удобнее решать целый ряд более серьезных задач. Это серверы баз данных и доступа, серверы приложений и полнофункциональные межсетевые экраны. Системные администраторы отмечают, что «минимально возможная инсталляция UNIX не включает в себя ничего лишнего, а ядро можно пересобрать под конкретную конфигурацию оборудования. Кроме того, эта система более управляема, предсказуема и понятна». В результате эти, зачастую бесплатные ОС, сегодня развиваются темпами, превосходящими Windows почти в 2 раза. Причем их предпочитает внедрять не только крупный бизнес, но и правительственные структуры. Их исходные коды общедоступны, а значит, можно быть уверенным, что операционные системы не выполняют «шпионских функций».
     На конференции LinuxWorld в Сан-Франциско, прошедшей в начале августа, было отмечено, что «за последние два года в мире произошло свыше 125 крупномасштабных внедрений Linux на государственном уровне. В некоторых странах на opensource перешли отдельные государственные ведомства, в других — целые правительства. Последним таким примером стала Венесуэла, где на уровне правительства было выдвинуто постановление о создании плана миграции на Linux в течение 90 дней».


     В числе основных преимуществ открытого ПО чаще всего упоминался инновационный характер (в этой области сейчас работает порядка 1 млн. программистов, которые делятся идеями друг с другом), более низкая стоимость, чем у закрытого ПО, более высокий уровень безопасности, достигаемый благодаря открытому коду, возможность подстройки под нужды пользователя.
     Microsoft, со своей стороны, еще в 2003 году объявила о том, что усовершенствование процесса установки «заплат» стало одним из основных направлений работы корпорации. На сайте www.microsoft.com, как минимум, раз в месяц появляются новые «критические» обновления, закрывающие очередную «дыру». При этом разработчики Microsoft стремятся создать некую самонастраиваемую систему, так как рассчитывают, прежде всего, на неквалифицированных пользователей. Создаются возможности, которые обеспечат надлежащее функционирование системы при минимальном вмешательстве человека. В итоге должна возникнуть ситуация, когда люди, принимающие решения, смогут задать политику и распространить ее на тысячи машин, не прилагая при этом существенных усилий по написанию программ, переключению рычагов или нажатию кнопок на администраторских пультах.

Максим Мусихин, «Тетроникс ВТ», коммерческий директор:

     — Системы уничтожения данных — последний рубеж обороны в системах защиты информации. Они работают по принципу удаления данных с магнитных носителей при помощи магнитных импульсов, после чего на диске остается только белый шум. Восстановить данные невозможно — об этом говорят как наши собственные эксперименты, так и соответствующие попытки, проводимые на уровне производителей дисков.
     Существуют различные схемы работы систем уничтожения. Информация может быть удалена вручную, «нажатием кнопки» или автоматически, когда решение об уничтожении принимает автомат, например, при попытке несанкционированного доступа к данным или вскрытия системного блока. Полное удаление информации занимает доли секунды. Блок уничтожения не представляет опасности для другой техники, независимо от того, как близко к нему она расположена.
     В настоящий момент системы уничтожения становятся все более популярными. Они широко используются рядом ведущих банков и фирм федерального уровня, а также крупными региональными компаниями.

     Кроме того, Microsoft заявила о намерении выпустить до конца года более защищенную версию браузера Internet Explorer. Впрочем, это заявление породило массу резкой критики в адрес корпорации. В частности, управляющий Symantec Джон Томпсон заявил, что стратегия Microsoft «хромает» из-за того, что не учитывает аспекты безопасности ни для каких иных платформ, кроме собственной.
     Но, фактически, обеспечить безопасность системы, работающей под Windows, сегодня можно лишь специально разработанными и встраиваемыми в ОС механизмами защиты. Их идеология полностью отлична от методов, реализуемых в продуктах Microsoft. Более того, новый подход в построении защищенных систем реализует алгоритмы перспективной защиты от неизвестных угроз и атак.
     Одно из многочисленных преимуществ таких механизмов в том, что они позволяют задавать произвольные реакции на факты несанкционированного доступа а, значит, применять одну и ту же систему защиты информации (СЗИ) при различных политиках информационной безопасности предприятия. Предполагается, что такие механизмы смогут отчасти решить проблемы информационной безопасности.


Защита от одиночки

     Наконец, несанкционированный доступ возможен в результате действия самого «слабого звена» любой системы безопасности — человеческого фактора. В докладе, посвященном вопросам безопасности, специалисты Microsoft обращают внимание на то, что «многие системные сбои, привлекающие много внимания, происходят из-за сложности систем. Люди допускают ошибку в администрировании, не устанавливают пакет исправлений или неправильно настраивают брандмауэр, и простой сбой превращается в катастрофу. Существует очень сильная зависимость от операторов-людей, которые должны делать то, что нужно, изо дня в день». Всегда есть вероятность ошибок программистов, системных администраторов и простых пользователей, случайно снимающих защиту во время работы.
     В качестве примера специалисты приводят случай, имевший место в России в 2002 году. Руководителю небольшой коммерческой организации предложили воспользоваться новой услугой, предоставляемой банком, — проводить платежи через Интернет. Месяца три пользования этой услугой приводили руководителя в восторг — из любого города, в любое время он мог осуществлять платежи своим партнерам. Но во время одного из сеансов связи, блуждая по меню платежей, он случайно задел несколько клавиш клавиатуры. И свершилось чудо — он мгновенно попал в меню другой фирмы, которая обслуживалась этим же банком. Совершив все необходимые манипуляции на клавиатуре своего компьютера, он понял, что перевод денежных средств на другой счет проблем не вызовет. В силу своей порядочности он отказался от проведения этой операции, и, дождавшись утра следующего дня, закрыл свой счет в этом банке. Чуть позже он выяснил, что в аналогичной ситуации оказались несколько его знакомых. Руководители банка предпочли при этом хранить гробовое молчание.
     В конечном итоге, вопрос не в том, будут попытки взломать вашу систему или нет. Вопрос в том, когда ее попытаются взломать. Ответ: быстро. Почти сразу, как только вы подсоединитесь к Интернету или в вашей сети появится новый пользователь. Как отмечает в своих статьях Лэнс Спицнер, специалист по информационной безопасности компании Sun Microsystems и основатель проекта «Honeynet Project»: «Я знаю администраторов, которые были очень удивлены фактом сканирования их систем, о которых никто еще не знал, поскольку они были выставлены в Internet всего два дня назад. Ничего удивительного здесь нет. Наиболее вероятно, их системы были просканированы script kid¬die (искателями легкой добычи — прим. ред.) которые как раз «обнюхивали» этот участок сети». Будут взломщики новичками или профессионалами — это вопрос другой. Следы первых обычно легко заметны, а профессионалов вы, скорее всего, сразу не увидите. Ваша задача — заставить первых искать более легкую добычу, а вторым серьезно осложнить работу.
     Разработка и поддержка сетевой защиты — это интеллектуальное соревнование между нападающим и защитником. Постоянное развитие методик нападения и защиты требует пристального внимания. Ценой совершенной ошибки будет потерянная информация — самое дорогое в этом тысячелетии, как уверяют все социологи.