Типичные уязвимые места | |
Ты намерен потопишь корабль?- уточнил он. На лице Смерти отразился ужас.
РАЗУМЕЕТСЯ,
НЕТ. БУДЕТ ИМЕТЬ МЕСТО СОЧЕТАНИЕ НЕУМЕЛОГО УПРАВЛЕНИЯ КОРАБЛЕМ, НИЗКОГО УРОВНЯ
ВОДЫ И ПРОТИВНОГО ВЕТРА.
Т. Пратчетт |
Современные системы общего назначения имеют развитую систему безопасности, основанную
на сочетании ACL и полномочий. Методы получения и передачи полномочий в этих ОС,
как правило, теоретически корректны в том смысле, что доказана невозможность установления
полномочия для пользователя или процесса, который не должен этого полномочия получать
(сказанное не относится к системам Windows 95/98/ME, в которых эффективные средства
безопасности отсутствуют по проекту).
В таких системах существует пять основных
источников проблем безопасности. - Недостаточная аккуратность
пользователей в выборе паролей, создающая условия для успешной словарной атаки,
а также утечки паролей, обусловленные другими причинами, начиная от пресловутых
"паролей на бумажках" и кончая шантажом пользователей и прослушиванием
сети злоумышленниками.
- Запуск пользователями вирусов и
других троянских программ, чаще всего в составе или под видом игр.
-
Ошибки администратора в формировании ACL (с некоторой натяжкой сюда же можно причислить
неудачные комбинации принятых в системе прав по умолчанию).
-
Наличие в сети ОС и приложений с неадекватными средствами обеспечения безопасности.
-
Ошибки в модулях самой ОС и работающих под ее управлением приложениях.
Первый источник проблем преодолим только организационными мерами, и лишь некоторые
из них — например, проведение с пользователями воспитательной работы — находятся
в сфере компетенции системного администратора. Исключение составляет борьба с
прослушиванием сети: предотвращение технической возможности несанкционированного
подключения к сети также обычно находится на грани области компетенции системного
администратора, но использование шифрованных сетевых протоколов или хотя бы таких,
в которых имя и пароль передаются в хэшированием виде, может значительно уменьшить
пользу прослушивания для злоумышленника.
Второй источник также следует преодолевать
организационными мерами. Разумной политикой, по-видимому, следует считать не полный
запрет компьютерных игр, а постановку процесса под контроль путем создания легального
более или менее централизованного хранилища этих игр, систематически проверяемого
на предмет "заразы". Поддержание этого хранилища может выполняться как
самим системным администратором, так и на общественных началах.
Третий источник
проблем находится преимущественно в голове самого системного администратора. Он
должен знать точную семантику записей в ACL используемой ОС, исключения из правил,
хотя бы наиболее распространенные стандартные ошибки, а также то, какие и кому
права даются по умолчанию.
Большую помощь в формировании оптимальных и безошибочных
ACL и групп оказывает хорошо документированная организационная структура компании,
из которой ясно, какие служебные обязанности требуют того или иного доступа к
тем или иным ресурсам и почему, и на основании каких распоряжений тот или иной
уровень доступа должен быть изменен. Сверх этого можно надеяться только на аккуратность
и привычку к систематической мыслительной деятельности.
Ни в коем случае не
следует полагаться на то, что права, раздаваемые системой или прикладным пакетом
по умолчанию, адекватны и могут быть оставлены без изменения. Так, в Windows NT/2000/XP
на разделяемый дисковый ресурс по умолчанию даются права Everyone:Full Control
(т. е. всем пользователям, явно не перечисленным в ACL, даются все права, в том
числе и на изменение прав).
Четвертый источник, как правило, находится вне
контроля системного администратора: хотя он и может иметь право голоса в решении
вопроса о судьбе таких систем, но обычно его голос не оказывается решающим. Если
отсутствие или неадекватность средств безопасности в операционной системе настольного
компьютера часто можно скомпенсировать, исключив хранение на нем чувствительных
данных, не запуская на нем доступных извне сервисов и — в пределе — сведя его
к роли малоинтеллектуального конечного устройства распределенной системы, а его
локальный диск — к роли кэша программ и второстепенных данных, то с приложениями
все гораздо хуже.
Используемые в организации приложения и, что самое главное,
стиль их использования обычно обусловлены ее бизнес-процессом, поэтому недостаточно
продуманные попытки не только миграции в другое приложение, а иногда и установка
patches (заплат) или изменения настроек могут привести к нарушениям в бизнес-процессе.
Тщательное же продумывание и аккуратная миграция представляет собой сложный, весьма
дорогостоящий и все-таки рискованный процесс, на который руководство организации
всегда -по очевидным причинам — идет крайне неохотно. Это в равной мере относится
как к мелким конторам с "документооборотом" на основе MS Office, так
и к организациям, в которых основное бизнес-приложение представляет собой самостоятельно
разрабатываемый и поддерживаемый программно-аппаратный комплекс, сохраняющий преемственность
по данным с самим собой с конца XIX века (без шуток — механизированные системы
обработки данных, табуляторы Холлерита, появились уже тогда).
В то же время,
некоторые распространенные приложения представляют собой настоящий рай для взломщика,
настолько богатый возможностями, что многие взломщики из спортивного интереса
даже считают ниже своего достоинства этими возможностями пользоваться. Речь прежде
всего идет о почтовом клиенте Microsoft Outlook, который без всяких предупреждений
(а старые версии и автоматически) запускает пришедшие по почте исполняемые файлы.
Не менее чудовищна модель безопасности приложений пакета Microsoft Office, в которых
документ может содержать макропрограммы, в том числе и способные модифицировать
файлы, не имеющие отношения к документу. Новые версии пакета содержат средства,
позволяющие в определенных пределах контролировать исполнение этих макропрограмм,
но крайняя непродуманность этих средств вынуждает многих пользователей отключать
их.
Указанные приложения являются идеальной средой для распространения вирусов
и других троянских программ. Антивирусные пакеты ни в коем случае не могут считаться
адекватной мерой, потому что обнаруживают только известные вирусы, обнаружить
же новый вирус или троянскую программу, написанную специально для доступа к данным
вашей компании, они принципиально не способны. Автор не в состоянии предложить
эффективного способа действий при использовании в компании этих приложений, и
может лишь посоветовать все-таки принудительно выключить макросы в
приложениях
Office и научить пользователей не открывать незнакомые фай-I лы, пришедшие по
почте.
Наконец, пятая причина — ошибки в модулях ОС и приложениях — хотя и
находится за пределами непосредственной сферы влияния системного администратора,
но заслуживает более подробного обсуждения, особенно потому, что мы предназначаем
нашу книгу не только эксплуатационщикам, но и разработчикам программного обеспечения. |
