100 Мифы и заблуждения информационной безопасности Лукацкийhttp://bankir.ru/news/experts/lukatsky/?p=5 В рамках рубрики "Мнение эксперта" мы начинаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности". Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems Миф общий: "Можно создать абсолютно защищенную систему"20.10.2008 17:18 6Миф №1 "Антивирус достаточно обновлять ежедневно"21.10.2008 21:30 7Миф №2 "Входящим сообщениям электронной почты можно доверять"23.10.2008 13:02 9Миф №3 "Ядерные объекты недоступны хакерам"27.10.2008 13:18 10Миф №4 "Криптография решает все проблемы с безопасностью"31.10.2008 19:49 14Миф №5 "Спам вреден"06.11.2008 16:24 16Миф №6 "Спам наносит ущерб конечным пользователям"07.11.2008 08:25 17Миф №7 "Спам – это проблема для оператора"12.11.2008 15:05 19Миф №8 "Регуляторы могут проверять вас, когда захотят"18.11.2008 19:47 20Миф №9 "За нарушение требований по персональным данным мне не грозит ничего серьезного"20.11.2008 20:21 21Миф №10 "Существуют вирусы, воздействующие на здоровье человека"24.11.2008 19:12 23Миф №11 "Для искоренения вирусов достаточно всем поставить антивирус"27.11.2008 13:31 24Миф №12 "Антивирусные компании всегда знают обо всех вредоносных программах"01.12.2008 19:15 25Миф №13 "2 МСЭ лучше чем один"05.12.2008 11:45 25Миф №14 "Сообщениям электронной почты можно доверять конфиденциальную информацию"25.12.2008 14:10 26Миф № 15 "Я могу без всякого риска открывать почтовые сообщения от известных мне адресатов"26.12.2008 13:04 28Миф №16 "Антивирусы обнаруживают 100% вирусов"31.01.2009 18:00 28Миф №17 "Служба информационной безопасности имеет право читать электронную почту своих сотрудников"12.02.2009 11:40 29Миф №18 "Антивирусы умеют обнаруживать неизвестные вирусы"17.02.2009 17:27 31Миф №19 "Число записей в базе антивируса определяет его эффективность"24.02.2009 11:19 33Миф №20 "Linux защищеннее Windows"25.02.2009 09:52 33Миф №21 "Мы обязаны соблюдать требования ФСТЭК по защите персональных данных"10.03.2009 12:00 34Миф №22 "Сертификат ФСТЭК гарантирует работоспособность системы"11.03.2009 12:49 36Миф №23 "Число вредоносных программ растет по экспоненте"13.03.2009 12:37 37Миф №24 "14 символов - наилучшая длина пароля"16.03.2009 10:41 39Миф №25 "Если что-то защищено паролем, оно не может быть взломано"17.03.2009 09:28 39Миф №26 "Защиту персональных данных выдумали в России"19.03.2009 11:09 41Миф №27 "Вирусы создаются антивирусными компаниями"20.03.2009 11:33 45Миф №28 "Компании, которые занимаются безопасностью, не ломают"23.03.2009 12:05 45Миф №29 "Тестам средств защиты в журналах можно доверять"26.03.2009 12:31 47Миф №30 "Банкомат нельзя взломать"27.03.2009 11:44 48Миф №31 "Принтеры не надо защищать"02.04.2009 11:26 51Миф №32 "Роскомнадзор имеет право проводить плановые проверки по теме персональных данных"06.04.2009 10:44 54Миф №33 "Вирусы опасны, потому что их десятки тысяч"16.04.2009 13:48 55Миф №34 "Надо стремиться к внедрению Security Best Practices"28.04.2009 15:16 56Миф №35 "Все должны соответствовать требованиям ФЗ-152 «О персональных данных» с 1-го января 2010 года"29.04.2009 12:48 57Миф №36 "Аутсорсинг безопасности – это управление средствами защиты"30.04.2009 13:34 58Миф №37 "Web-студии умеют создавать защищенные сайты"06.05.2009 10:16 60Миф №38 "Чужие специалисты по защите лучше своих"08.05.2009 10:11 65Миф №39 "Спам легко обнаружить"13.05.2009 00:00 67Миф №40 "Хакерам недоступны объекты космической отрасли"18.05.2009 13:11 68Миф №41 "Вину хакера легко доказать"21.05.2009 12:45 70Миф №42 "В комплект поставки моего компьютера входит антивирус и поэтому мне нечего опасаться"01.06.2009 15:55 74Миф №43 "Федеральный закон «О персональных данных» самый главный закон в России по данной теме"08.06.2009 15:30 74Миф №44 "Банк в состоянии самостоятельно защититься от DoS-атак"22.06.2009 09:08 76Миф №45 "Приведение себя в соответствие с требованиями ФЗ-152 не требует никаких затрат"23.06.2009 09:42 76Миф №46 "Снижение класса защиты ИСПДн приведет к снижению затрат на защиту персональных данных"25.06.2009 12:43 79Миф №47 "80% всех нарушителей находятся внутри организации"26.06.2009 13:37 80Миф №48 "Сертификат ФСТЭК гарантирует защищенность системы"02.07.2009 12:44 81Миф №49 "В России запрещено использовать несертифицированные средства шифрования"14.07.2009 13:04 83Миф №50 "В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом"24.07.2009 14:12 85Миф №51 "Традиционная телефония более защищена, чем IP-телефония"10.08.2009 18:47 86Миф №52 "IP-телефония не защищает от прослушивания"11.08.2009 18:45 88Миф №53 "IP-телефонию легко вывести из строя"12.08.2009 13:40 89Миф №54 "IP-телефония не защищает от подмены телефонов и серверов управления"17.08.2009 12:00 90Миф №55 "IP-телефония подвержена заражению червями, вирусами и троянцами"24.08.2009 10:53 90Миф №56 "В IP-телефонии легко совершить мошенничество"28.08.2009 15:37 91Миф №57 "Злоумышленник с административными правами может нарушить функционирование инфраструктуры IP-телефонии"04.09.2009 14:09 92Миф №58 "Число сигнатур атак определяет эффективность системы обнаружения атак"09.11.2009 18:07 92Миф №59 «Внешние фирмы нельзя пускать к своей безопасности»17.11.2009 20:38 94Миф №60 «Наша система корреляции позволяет подключать любые системы защиты»30.11.2009 18:16 94Миф №61 "Сервер управления IP-телефонией можно перегрузить большим числом звонков"10.12.2009 20:42 95Миф №62 "К IP-телефонам можно осуществить несанкционированный доступ"23.12.2009 22:24 95Миф №63 «На эксплуатацию средств шифрования требуется лицензия»03.01.2010 16:10 96Миф №64 «Мобильные вирусы представляют большую опасность»19.01.2010 18:09 98Миф №65 «Системы обнаружения атак умеют обнаруживать неизвестные атаки»26.01.2010 00:29 98Миф №66 «Шредер гарантированно уничтожает информацию на бумаге»03.02.2010 00:30 100Миф №67 «Токены очень удобны и решают все проблемы с аутентификацией»05.02.2010 15:56 101Миф №68 «Dj#wP3M$c – наилучший пароль»16.02.2010 00:15 103Миф №69 «Аутсорсинг дороже, чем создать свой отдел»21.02.2010 01:30 104Миф №70 «Аутсорсинг ИБ в России – это реальность»13.03.2010 00:31 105Миф №71 «Сертификату, выпущенному удостоверяющим центром, можно доверять»17.03.2010 19:04 106Миф №72 «Пароль нужно менять каждые 30 дней»25.03.2010 01:17 107Миф №73 «Zero Day атаки являются основной проблемой для служб ИБ»31.03.2010 02:22 108Миф №74 «Вирусы и вредоносное ПО - самый опасный бич сетей»08.04.2010 22:17 109Миф №75 «Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройств»15.04.2010 22:22 111Миф №76 «Операционная система Linux не может быть заражена вирусами»21.04.2010 22:04 113Миф №77 «Наша система не подвержена вирусам»29.04.2010 14:20 114Миф №78 «В сертифицированных системах шифрования есть лазейки для ФСБ»12.05.2010 16:15 115Миф №79 «Заниматься инвестированием выгоднее, чем писать вирусы или хакеры заинтересованы только в славе»18.05.2010 14:19 116Миф №80 «Нас уже взломали и второй раз не вернутся»31.05.2010 01:34 120Миф №81 «Безопасность не влияет на бизнес-показатели»11.06.2010 15:08 121Миф №82 «Во всех бедах с информационной безопасностью виноваты хакеры»18.06.2010 17:31 127Миф №83 «Моя компания неизвестна и поэтому ее незачем атаковать»03.07.2010 14:46 128Миф №84 «USB-токен спасает от кражи секретных ключей ЭЦП»09.07.2010 22:00 129Миф №85 «Виртуальная клавиатура спасает от троянов, крадущих пароли»18.07.2010 01:43 131Миф №86 «Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета»29.07.2010 03:00 134Миф №87 «Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета»10.08.2010 13:46 137Миф №88 «Сертификату Интернет-банка в браузере можно доверять»26.08.2010 00:31 138Миф №89 «Шифрование по SSL обеспечивает защиту транзакций в Интернет-банке»06.09.2010 02:40 140Миф №90 «Сайты умеют защищать хранимую на них информацию»16.09.2010 00:59 142Миф №91 «VPN - это обязательно шифрование»30.09.2010 01:40 144Миф №92 «Конфиденциальность персональных данных может быть обеспечена только шифрованием»25.10.2010 01:26 146Миф №93 «Стандарт Банка России по безопасности не обязателен к исполнению»12.11.2010 17:11 148Миф №94 «СТО Банка России труднее выполнить, чем требования ФСТЭК и ФСБ»25.11.2010 01:46 149Миф №95 «Аттестация информационной системы по требованиям безопасности возможна и обязательна»09.12.2010 14:15 150Миф №96 «В Интернете можно однозначно идентифицировать атакующего»27.12.2010 00:54 152Миф №97 «Вирусы пишут только студенты»07.01.2011 05:22 154Миф №98 «Длинный криптографический ключ определяет надежность шифрования»24.01.2011 14:11 156 Для кого эта книгаМного лет назад я задумал написать книгу «Безопасность для чайников» по примеру англоязычной серии «…for Dummies». Но как-то со временем были проблемы и книга так и вышла в свет. Но вот в январе 2002 года я опубликовал статью в еженедельнике PCWeek «Разоблачая мифы», в которой «разоблачил» ряд распространенных на то мифов про хакеров, средства защиты и т.п. Статья получила много откликов от разных людей, Интернет-порталов и других изданий, и я понял, что тема может быть достаточно интересной для широкого круга читателей. Я хотел продолжить серию статей про мифы, но со временем идея трансформировалась в желание написать книгу. И тут как нельзя кстати поступило предложение от bankir’а, которым я и решил воспользовался. Книг для специалистов, которые погружают нас в мир байтов, пакетов, стека протоколов, буферов обмена, операционных систем, tcpdump’ов, протоколов и пр. выходит огромное множество. Но многим ли интересны эти фолианты? Многие ли понимают все то, что написано? А главное, изменяет ли это как-то ситуацию в области ИБ? Становится ли тема информационной безопасности ближе для обычных граждан, которые далеки от ежедневной рутины экспертов по ИБ? Понимают ли они, что для того, чтобы защитить электронную почту от утечек нужно не столько надеяться на администраторов по безопасности, сколько самим понимать все связанные с e-mail риски и самим предпринимать хотя бы минимальные усилия по защите своей переписке. Именно поэтому я сознательно пишу книгу, ориентированную на массового читателя, который может быть и не знаком с проблемами информационной безопасности или не примеряет их на себя. С другой стороны, в книге будут рассмотрены темы, которые будут близки именно специалистам в области безопасности. Я надеюсь, мне удастся найти баланс между запросами рядового пользователя компьютера и специалиста в такой непростой, но потрясающе интересной области, как информационная безопасность. ^ Как пользоваться этой книгойЭта книга отличается от всего того, что публиковалось раньше в России по информационной безопасности. Вы не сможете прочитать эту книгу сразу от начала до конца. Вы не сможете скачать ее к себе на компьютер целиком. Это будет постепенная публикация частей книги, объединенной общей темой. Вы не узнаете, что я напишу завтра, так как я и сам этого еще не знаю. Конечно у меня есть определенные наброски того, чтобы я хотел увидеть в книге. Но электронная публикация по частям как раз и подразумевает некоторую неопределенность будущих фрагментов. Возможно вы, как читатель, сами подскажете, о чем мне стоит написать или в чем я неправ. Этим и отличается моя книга от всех остальных, напечатанных в России, – она подразумевает обратную связь, которую я буду учитывать, создавая последующие части.У моей книги отсутствует общепринятое оглавление – каждый миф или заблуждение будут самодостаточны и не будут зависеть от уже опубликованных частей или только планируемых к публикации. Поэтому и начинать читать книгу можно будет с любого мифа – концепции это не нарушит и не помешает восприятию всего материала. Также я отказался от публикации мифов, объединенных по тематическим группам – электронная почта, вирусы, аудит, криптография, консалтинг по безопасности и т.п. Мифы и заблуждения будут публиковаться случайным образом. Это позволит не зацикливаться на одной теме и быть более интересным для разных категорий читателей. Публикация книги рассчитана на один год. Раз в неделю будет публиковаться 3 мифа или заблуждения. Таким образом, к концу года (с момента публикации) свет увидят 156 наиболее распространенных и развенчанных заблуждений. Может быть это число будет увеличено. Кто знает?!Приятного чтения!Предисловие Чем больше люди будут верить в мифы, тем больше подобного фольклора им будет подсовывать государство. Люди хотят верить, что бык реагирует на красный цвет и что страус прячет голову в песок. Хотят верить, что ошибка 2000 года - серьезная проблема, что переход на летнее и зимнее время экономит электроэнергию, что озоновая дыра существует, виды вымирают, а в мире происходит глобальное потепление. Чем проще и глупее выдвигается тезис, тем больше у него шансов завоевать всенародное доверие.Артемий ЛебедевС экранов телевизора на нас смотрят красивые женщины и мужчины, сверкающие белозубыми улыбками. Зубные пасты, щетки, порошки, нити и многие другие приспособления придуманы только для того, чтобы достичь этого общепризнанного канона красоты, который казалось бы существовал вечно. Однако это не так. Совсем недавно, в 16-м веке, молодые купеческие дочки чернили свои зубы углем, стремясь доказать всем, что они гнилые. А все потому, что это свидетельствовало о высоком достатке в семье. Как? Что? Откуда? Почему? А все объясняется просто. Зубы портились и гнили от сахара, который в те времена был очень дорогим лакомством; для многих недосягаемым. И логика у молодых девиц была простая. Если зубы черные, значит от сахара. Если есть сахар, то семья богатая. А это престиж, множество женихов и другие жизненные блага. Вот такой интересный миф о белозубом эталоне красоты.А миф о рыцарях короля Артура? Представьте их перед своими глазами. Что вы видите? Статных мужчин, сидящих в сверкающих латах за круглым столом, орудующих столовыми приборами и говорящих языком поэзии, свершающих подвиги во славу прекрасной дамы и т.д. Но вдумайтесь сами, Артур жил в 5-6-м веке. Какие латы, какие столовые приборы? Этим рыцарям было впору ходить в шкурах, они не мылись месяцами, изъяснялись так, что современные рыночные торговки позавидовали бы используемым ими трехэтажным оборотам. Достаточно посетить крепость-музей Тауэр в Лондоне и лишний раз убедиться в этом. Система канализации в самой старой, Белой башне Тауэра, построенной в 1078 году Вильгельмом Завоевателем, лишний раз демонстрирует уровень цивилизации того времени. А Артур и его рыцари жили пятью веками ранее!Есть мифы интересные. Есть мифы забавные. А есть мифы опасные, которые не всегда стоит развенчивать, ибо это чревато негативными последствиями. Например, кто берется предсказать, если такому событию, как Куликова битва будет дана совершенно иная трактовка. Ведь есть теория о том, что Куликова битва происходила не под Тулой, а на территории современной Москвы и не из-за татаро-монгольского ига, а по причине вражды между Дмитрием Донским и литовским князем Владиславом Ягайло, который нанял Мамая для реализации своих геополитических целей. А пресловутый Виктор Суворов со своим романом "Ледокол", в котором делается достаточно интересная (хотя и многими оспариваемая) попытка доказать, что именно Сталин готовил нападение на Германию, а не наоборот. И Гитлер всего лишь опередил его на полгода. Такого рода мифы не стоит развенчивать только потому, что это может повлечь за собой сложно предсказуемые события… и не всегда положительные.Все это мифы, которые достаточно прочно засели у нас в голове, и искоренять их достаточно сложно. Если вообще необходимо. Но есть мифы, которые еще не так прочно вошли в мозг современного обывателя и даже специалистов. К их числу относятся и заблуждения об информационной безопасности. Есть мифы юмористические. Как, например, такой. В 1988 году известный программист Питер Нортон (Peter Norton), давший свое имя не одному продукту компании Symantec и ставший легендой в области антивирусов и системных утилит, так говорил о вирусах: «Компьютерные вирусы не более чем «городская легенда». Они не более реальны, чем гигантские аллигаторы, живущие в тоннелях канализации Нью-Йорка. Их просто не существует!» А некоторое время спустя на свет появился антивирус, носящий имя Питера Нортона. Парадокс и ирония судьбы. Но существуют и менее безобидные мифы. Например, ,будто бы сеть, неподключенная к Интернет, защищена от хакеров. Или атомные электростанции не доступны для злоумышленников. Ложное чувство своей защищенности, проистекающее вследствие этих мифов, может обойтись очень дорого и привести к печальным последствиям, как для их апологетов, так и для организаций, в которых они работают.Поэтому я и решил собрать в одной книге все распространенные заблуждения и мифы по информационной безопасности и постараться развенчать их. Я постарался избегать погружений в технические детали и терминологию и сделать книгу интересной не только для специалистов, но и для всех тех, кто интересуется миром современных информационных технологий и их безопасностью.Женщина не может заниматься безопасностью! Атомные электростанции не доступны для хакеров! Антивирусные компании сами создают вирусы! Чем длиннее пароль, тем лучше! В Интернет можно остаться анонимным! Сеть, неподключенная к Интернет, защищена от хакеров! Linux защищеннее Windows! С принтера нельзя рассылать спам и вирусы! Эти и другие 150 с лишним мифов будут развенчаны в этой книге.Итак… имеющий уши да услышит...(Продолжение следует...)Любой текст, опубликованный автором книги «Мифы и заблуждения информационной безопасности» не отражает официальную позицию компании, в которой автор работает. Этот текст не может быть использован в качестве основания для любых юридических и иных исков и обвинений компании, в которой работает автор^ Миф общий: "Можно создать абсолютно защищенную систему"20.10.2008 17:18 Просматривая недавно публикации по информационной безопасности, я наткнулся на целый ряд статей разных авторов, посвященных такой непростой задаче, как доказательство возможности создания абсолютно защищенной системы. И это несмотря на общепризнанный факт того, что такую систему создать невозможно. Мало того. Многие компании даже создают системы, называемые «абсолютно защищенными». Как правило, такие заявления делаются фирмами, занимающимися криптографической защитой. Например, компания Meganet, создавшая Virtual Matrix Encryption, или TriStrata Securities. Однако и в области не криптографии регулярно всплывают фирмочки, заявляющие о революции в области информационной безопасности и создании абсолютно защищенной системы. Например, компания AppShield, выпустившая одноименное устройство и даже гарантирующая возврат денег, если ее систему взломают (как тут не вспомнить рекламу мужского дезодоранта OldSpice, обещающего схожие гарантии). Но это все небольшие компании, которые, выйдя на уже поделенный рынок, пытаются привлечь к себе внимание любыми способами. А что же крупные и известные игроки этого рынка? И здесь есть свои герои. Например, такой гранд в области информационной безопасности, как Symantec, проводила в июле 2003 года семинар с претенциозным названием: «Абсолютная защита корпоративной сети предприятия на основе интегрированных решений Symantec». А компания Oracle, которая в начале 2002 года выпустила невзламываемую версию своей СУБД. Именно таким эпитетом (unbreakable) награждали версию 9i популярной СУБД. На сайте Oracle можно было найти много ссылок на невзламываемость. Вот только некоторые из них: «Независимые аналитики подтверждают "неуязвимость" СУБД Oracle9i», «Нельзя сломать», «Неуязвимость: Oracle9i Application Server 2» и т.п. А электронные сообщения в рамках рекламной кампании содержали такой текст: «Oracle9i. Unbreakable. Can't break it. Can't break in» («Oracle9i. Невзламываемый. Его невозможно взломать. В него невозможно проникнуть»).Может быть специалисты названных компаний знают что-то такое, что действительно позволяет им создавать абсолютно неприступную систему обороны информационных систем любой компании. «А почему, собственно, абсолютной защиты не существует?», - спросил я себя и попытался найти доказательство этого общепризнанного факта.В качестве примера для рассуждения возьмем обычную сеть (аналогичные рассуждения применимы к любой системе или объекту), существующую практически у любой компании. Если говорить человеческим языком, то вероятность взлома такой сети внешним хакером или внутренним злоумышленником зависит, как минимум, от трех параметров (на самом деле их больше). Первым параметром является надежность средств, защищающих сеть, или иными словами, вероятность их взлома или обхода. Таких средств может быть несколько – системы обнаружения атак, антивирусные системы, системы контроля содержимого и т.д., а может быть и так, что линия обороны состоит только из единственного межсетевого экрана или маршрутизатора с функциями безопасности.Данный параметр никогда не будет равен максимальному значению – единице. Связано это с тем, что, к сожалению, не существует абсолютно надежных систем, которые лишены ошибок и уязвимостей. Ведь людям, создающим эти системы, свойственно ошибаться и эти ошибки могут стоить очень дорого, что уже не раз демонстрировала история. Да и статистика нам подтверждает это – среднестатистическая программа содержит до 15 ошибок/уязвимостей на 1000 строк кода. Однако и нулю рассматриваемый параметр равен быть не может, т.к., хоть какой-то, но уровень защиты эти средства обеспечивают (а иначе, зачем они нужны?).Второй параметр, влияющий на защищенность сети, - это уже не качество реализации, а качество настройки и конфигурации системы защиты. Этот параметр также зависит от человеческого фактора, но т.к. число возможных настроек несоизмеримо меньше числа строк программного кода в системе, то его максимальное значение, единица, теоретически может быть достигнуто. По умолчанию, этот параметр нулю не равен, т.к. обычно система защиты как-никак, а настроена (пусть и не самым лучшим образом). На практике значение этого параметра меняются волнообразно, т.к. качество настроек постепенно ухудшается и требуется их регулярный аудит.И, наконец, третий параметр – быстрота реагирования на атаки злоумышленников не только со стороны автоматизированных средств защиты, но и со стороны специалистов, отвечающих в компании за безопасность. Даже пропущенная периметровыми защитными системами атака может быть вовремя замечена расторопным администратором, который успеет предотвратить ее разрушительные воздействия. Этот вероятностный параметр, как и предыдущий, может быть равен единице. Обратившись к следствию из известной теоремы умножения вероятностей получаем, что вероятность защиты от взлома или обхода защитной системы никогда не будет равна единице, т.е. создать абсолютно защищенную систему невозможно в принципе.Из этого вывода можно вывести и несколько интересных следствий. Во-первых, абсолютно защищенную сеть создать невозможно до тех пор, пока вероятность взлома системы защиты не достигнет нулевого значения (и наоборот – пока надежность защиты не достигнет единицы). А это возможно только в том случае, если устранить из процесса создания защитного средства или механизма (как и из создания системы вообще) человеческий фактор, являющийся главной причиной всех ошибок. Очевидно, что на современном этапе развития науки и информационных технологий это невозможно.Во-вторых, надежность даже суперзащищенной системы быть сведена «на нет» некачественной или неграмотной настройкой (т.е. если второй описываемый выше параметр не равен единице). Т.е. любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Это лишний раз доказывает необходимость наличия программы обучения, тренингов и повышения осведомленности в области безопасности. Можно привести хорошую аналогию. Если на двери стоит серьезный замок фирмы MOTTURA или MULT-T-LOCK, но вы просто не заперли замок или забыли в нем ключ, то о какой защите может идти речь?В-третьих, несвоевременное реагирование (или его отсутствие) на попытки проникновения в корпоративную сеть также делают ее незащищенной. Неслучайно сегодня часто можно на различных конференциях встретить доклады, посвященные управлению инцидентами, построению SOC (Security Operations Center) и т.д.В заключение хочу лишний раз повторить, что абсолютной защиты не существует, чтобы вам не рассказывали продавцы межсетевых экранов, антивирусов и т.п. защитных систем. В любой ситуации всегда присутствует человеческий фактор, который и вносит в такую стройную на бумаге картину всевозможные проблемы, нарушающие с таким трудом найденный паритет между обороной и нападением.^ Миф №1 "Антивирус достаточно обновлять ежедневно"21.10.2008 21:30 Нередко приходится видеть, что пользователи обновляют свои антивирусные программы (это же касается обновлений систем обнаружения атак, антиспамовых систем и т.п.) один раз в день, как правило, утром в момент загрузки компьютера. Достаточно ли этого? Можно с уверенностью сказать, что нет. Ежедневно появляется 30-50 новых вирусов, которые начинают распространяться по сетям и заражать все новые и новые жертвы. Если вы обновляете свою антивирусную базу один раз в день, то вероятность заражения компьютера между обновлениями возрастает многократно. Особенно опасно такое бездействие во время эпидемий, когда вредоносная программа распространяется по Интернет с огромной скоростью. Уже математически доказан факт создания червя (Warholl Worm), способного заразить все узлы Интернет (при современном развитии информационных технологий) всего за 15 минут! Даже при ежечасном обновлении антивируса такой червь 4 раза "обогнет" всю Сеть, прежде чем его "засекут" антивирусные сторожа.Рекомендация однократного обновления родилась в то время, когда об Интернете никто и не думал и основной парк вычислительной техники составляли автономные компьютеры, никак между собой не связанные. Обмен информацией происходил на 5-тидюймовых дискетах, программное обеспечение не обновлялось годами и вирусной эпидемией считалось распространение обычного загрузочного вируса в рамках одного отдела в течение нескольких недель. Тогда обновление антивируса один раз в день считалось колоссальным (но не всегда достижимым на практике) достижением, которое должно было свести на нет все усилия вредоносных программ. Еще в 95-м году, когда я работал в одном холдинге и у нас было несколько площадок только по Москве, мне приходилось ездить по офисам с целью обновления антивируса… несколько раз в год. Чаще просто не получалось – было много иной работы, а систем централизованного обновления тогда еще просто не придумали. Да и сама загрузка новых антивирусных баз проводилось не через Интернет, а через BBS или сеть Fidonet. Последний способ считался большим достижением, т.к. позволял распределять обновления в рамках всей России и не ждать часами, когда освободится телефонная линия BBS.С тех пор много воды утекло, компьютеры объединились не только в локальные, но и в глобальные сети, скорости обмена информации возросли многократно (когда-то я считал крупным достижением выход в Интернет на скорости 14400 бод, а сегодня мне не хватает 7-мимегабитного ADSL-канала). А вот рекомендация обновлять свои антивирусы один раз в день почему-то осталась и кочует из пособия в пособие, из статьи в статью, из курса в курс. Даже обычные человеческие лекарства надо принимать не один, а 2-3 раза в день (а гомеопатию и того чаще - каждый час при первых симптомах заболевания).Компьютерные вакцины не исключение и аналогичные действия надо производить и для защиты компьютерного организма - обновлять свою систему защиты от вредоносных программ надо как можно чаще. Хотя, разумеется, и перегибать палку тоже не стоит. Если производитель антивируса не выпускает обновления своего продукта чаще чем раз в день, то и настраивать купленный антивирус на проверку новых сигнатур по несколько раз в день тоже не стоит - это будет лишней тратой ресурсов.Какая частота будет оптимальной на сегодняшний день? Например, рекомендуемый период обновления последней версии решения Kaspersky Internet Security 2009 – раз в два часа. Но это при том, что решение от Лаборатории Касперского действительно обновляется несколько раз в день. Частота обновлений других антивирусных продуктов показана в таблице 1.Таблица . Частота обновления некоторых антивирусов по состоянию на 18 октября 2008 года Антивирус ^ Частота обновлений,в день BitDefender 13 ClamAV 5,6 Dr.Web 21 F-Secure 8,9 Kaspersky Antivirus 22,5 McAfee VirusScan 0,8 Nod32 3,3 Norton Antivirus 2008 3 Norton Antivirus 2009 282 Panda Antivirus 2,1 Sophos 6,7 Примечание: Данная таблица построена на основе данных портала AV.TEST, посвященного вопросам тестирования различных антивирусов.Мы видим, что если двухчасовой интервал обновления для антивируса Касперского является вполне закономерным, то тот же McAfee VirusScan обновляется реже, чем раз в сутки. Лидирующие позиции занимает Norton Antivirus 2009. А все потому, что в этом продукте обновления очень маленькие (около 3 Кб) и Symantec выпускает их мере появления новой сигнатуры, а не объединяет несколько сигнатур в один выпуск, как делают многие другие производители.Однако в отличие от конца 90-х, сегодня качество антивируса определяется уже не только скоростью его реакции на новые угрозы. Нельзя забывать про то, что сейчас многие производители все чаще стали оснащать свои классические сигнатурные решения поведенческой составляющей, которую еще называют проактивным (behavior based) детектированием. По такому пути пошла компания F-Secure с механизмом Deepguard, Symantec с функцией Sonar или Panda с TruPrevent. Есть производители, которые используют только поведенческие механизмы (например, IBM ISS с подсистемой Proventia VPS) и для них обновление сигнатур вирусов вообще не имеет смысла. Третьим примером является решение Cisco Security Agent, которое изначально использовало только проактивные механизмы обнаружения вредоносной активности, а затем Cisco включила в его состав классический сигнатурный антивирус ClamAV. В таких случаях необходимость немедленного обновления уже выглядит не такой уж и важной.Подводя итог, необходимо заметить, что классическая рекомендация ежедневного обновления антивируса уже не соответствует реалиям современных угроз – обновление должно осуществляться гораздо чаще. Но вот не каждый антивирус может себе это позволить.^ Миф №2 "Входящим сообщениям электронной почты можно доверять"23.10.2008 13:02 Послать сообщение от имени другого адресата является детской игрой. Почтовые протоколы (SMTP, POP3, IMAP) разрабатывались без учета требований безопасности и это приходится расхлебывать до сих пор, сталкиваясь с огромным ворохом различных проблем, начиная от отсутствия конфиденциальности и заканчивая подменой адресатов. Чтобы сразу перейти к доказательствам приведу несколько примеров, иллюстрирующих, что доверять сообщениям электронной почты никак нельзя; даже от вызывающих доверие источников.25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз.Комиссия по ценным бумагам (SEC) возбудила дело против 15-летнего юнца, обманувшего множество опытных биржевых брокеров. Схема мошенничества была проста до гениальности - мошенник покупал небольшие пакеты акций по низкой цене, а потом рассылал всем игрокам рынка сообщения по электронной почте о грядущем росте акций, что увеличивало спрос на них и резко поднимало спрос на них и, как следствие, цену. В результате проведения всего 11 сделок злоумышленник заработал 272826 долларов США.В России размеры мошенничества пока не настолько большие, но число таких прецедентов постоянно растет. Например, в октябре 2004 года многие пользователи Рунета получили сообщение, что стали победителями совместной акции системы e-port и интернет-магазина 21век.ру и могут получить мобильный телефон Samsung SGH-D410. В адресе отправителя стояло support@e-port.ru, в то время как физически все письма отсылались с адреса e-port@newmail.ru (мошенники это объясняли проблемами с основной почтой).Еще один пример, с которым автор столкнулся лично. В марте 2003 я года получил письмо от имени политической партии "Единая Россия", в котором был призыв создавать партийные ячейки на каждом предприятии. "Единая Россия" сразу же отмежевалась от данной рассылки, назвав ее "черным PR". Анализ заголовка письма также показывает, что истинным отправителем являются множество взломанных узлов рядовых пользователей Интернет (таким же путем обычно рассылается и спам). В первом случае письмо мне пришло из-за границы:Received: from pcp01342052pcs.wilog301.pa.comcast.net (pcp01342052pcs.wilog301.pa.comcast.net [68.81.115.56])by ruff.infosec.ru (Postfix) with SMTP id 22236BC21for ; Wed, 26 Mar 2003 01:08:44 +0300 (MSK)From: russia.edin@magelan.ruTo: Luka Reply-To: info@mos-partya.ruSubject: "ЕДИНСТВО и ОТЕЧЕСТВО" - Единая Россия"Во втором случае оно пришло из сети Релком:Received: from relcom.ru (unknown [62.5.208.114])by ruff.infosec.ru (Postfix) with SMTP id 7256BBC39for ; Wed, 26 Mar 2003 18:05:39 +0300 (MSK)From: edinstvo@a3studio.ruTo: Luka Reply-To: info@mos-partya.ruSubject: "ЕДИНСТВО и ОТЕЧЕСТВО" - Единая Россия"Аналогичный инцидент произошел и с партией "Яблоко". 6 июня 2003 года (как раз в разгаре предвыборной борьбы) я получил следующее письмо:Received: from 145.89.45.56 (SCOM056.scom.fcj.hvu.nl [145.89.45.56])by ruff.infosec.ru (Postfix) with SMTP id 1D76FBC17for ; Fri, 6 Jun 2003 02:37:40 +0400 (MSD)From: info@yabloko.ruTo: xxx@xxx.xxSubject: Яблоко против грязных PR технологий!а за день до парламентских выборов, что нарушает российское законодательство, и могло стать причиной снятия партии "Яблоко" с выборов, - еще одно:Received: from 68.82.134.111 (pcp01509495pcs.malvrn01.pa.comcast.net [68.82.134.111])by ruff.infosec.ru (Postfix) with SMTP id 9092BBBE7for ; Sat, 6 Dec 2003 07:55:31 +0300 (MSK)From: mitrohin@yabloko.ruTo: xxx@xxx.xxSubject: Партия "Яблоко"И, наконец, один из последних нашумевших случаев связан с мошенничеством с Сургутнефтегазом. В конце апреля 2007 года на фоне падения рынка котировки акций Сургутнефтегаза демонстрировали рост. Все оказалось очень «просто». До сих пор неустановленные авторы от имени инвестиционной компании «Тройка Диалог» разослали письмо, в котором прогнозировали слияние «Сургутнефтегаза» с «Роснефтью». Акции выросли, а в «Тройке-Диалог» и нефтяной компании отвергли все обвинения в рассылке. Всего два месяца спустя, 4 июля от имени «Сургутнефтегаза» была разослана совершенно иная спамерская рассылка – об аресте гендиректора нефтяной компании, что, по мнению аналитиков, должно было привести к обвалу акций.Можно видеть, что электронные сообщения фальсифицируются давно и во всех сферах общественной, политической и финансовой жизни. И безоговорочно доверять входящей электронной почте, даже отосланной якобы вызывающим доверие абонентом, нельзя. Исключение составляют те сообщения e-mail, которые прошли процедуру аутентификации. На сегодняшний день существуют различные методы проверки подлинности электронной почты - Sender Policy Framework, Sender-ID, Certified Server Validation, Domain-Keys Identified Mail, Bounce-Address Tag Validation и т.п. И хотя они нашли свое применение в различных продуктах и сервисах (например, Yahoo, Gmail, IronPort E-mail Security Appliance и др.), но, к сожалению, широко они пока не используются. Остается только надеяться, что описанные выше опасности станут тем побудительным мотивом, который позволит активно задуматься о всесторонней защите электронной почты.^ Миф №3 "Ядерные объекты недоступны хакерам"27.10.2008 13:18 Только чудом удалось избежать третьей мировой войны. «Фантазия режиссера», - скажете вы и будете неправы.В начале сентября 2002 года ядерную энергетику всколыхнул громкий скандал, связанный с фальсификацией крупнейшей японской энергетической компанией ТЕРСО результатов инспекций своих атомных станций. А 4 сентября в эксклюзивном интервью российскому