Глава 20

Политика безопасности и меры противодействия

Если достаточно долго заниматься моделированием угроз, станет ясно, что понятие «система безопасности» имеет различные значения в зависимости от ситуации. Вот несколько примеров:

• Компьютеры, используемые в деловой сфере, должны быть защищены от хакеров, преступников и промышленных конкурентов. Военные компьютеры должны быть надежно защищены от тех же угроз, а также от проникновения вражеских военных сил. Некоторые коммерческие компьютеры, обслуживающие телефонные сети, также должны быть защищены от вторжений военных противников.

• Многие городские транспортные системы используют проездные карточки вместо наличных денег. Подобные им телефонные карты применяются повсюду и в Европе и в Азии. Такие системы обязаны быть застрахованы от всевозможных подделок. Конечно, это не проблема, если подделки обходятся дороже, чем настоящие карты.

• Программы безопасности электронной почты должны обеспечить защиту корреспонденции от любых попыток перлюстрации и внесения в нее изменений. Конечно, во многих случаях программными средствами невозможно обезопасить себя от некоторых манипуляций: это троянский конь в компьютере, атаки TEMPEST, видеокамера, которая может считывать с экрана, и т. д. Телефоны, использующие кодирование, имеют тот же недостаток: они сумеют обеспечить тайну переговоров в дороге, но бессильны против «жучков» в помещении.

Хитрость заключается в том, чтобы разрабатывать систему в расчете на реальные угрозы, а не использовать технологии безопасности все подряд в надежде, что из этого что-нибудь получится. Для чего необходимо выработать политику безопасности (иногда называемую моделью безопасности), основанную на анализе угроз, и уже затем разрабатывать механизмы защиты, которые реализуют эту политику и противодействуют угрозам.

Политика безопасности системы подобна внешней политике правительства: она определяет цели и задачи. Когда правительство обвиняют в непоследовательности во внешней политике, это происходит потому, что в его действиях отсутствует логика и нет общей стратегии. Точно так же без политики безопасности меры противодействия цифровой системы будут неупорядочены. Политика – это способ обеспечить всеобщую взаимосвязь.

Хорошая политика формируется как ответ на угрозу. Если угрозы отсутствуют, то нет и политики: каждый может делать все что угодно. Соединенные Штаты нуждаются во внешней политике ввиду угроз со стороны других государств. Штат Пенсильвания не нуждается во внешней политике, потому что остальные штаты не представляют для него опасности. То же самое с политикой безопасности – она необходима, потому что моделирование угроз не заканчивается пустой страницей. Политика безопасности определяет рамки, в которых осуществляются выбор и реализация мер противодействия.

Большая часть этой книги посвящена тактике, а политика имеет дело со стратегией. Вы не можете решить, какие виды защиты от мошенничества нужно использовать в сотовом телефоне, пока у вас нет стратегии реализации этих контрмер. Вы не можете ожидать, что дюжина инженеров, каждый из которых отвечает за безопасность одной маленькой части системы, будут вести себя согласованно, если нет общей политики, направляющей их работу. О политике безопасности помнят всегда, когда определяют и реализуют меры противодействия.

Не нужно доказывать, что каждая организация нуждается в политике безопасности для своей компьютерной сети. Политика должна очерчивать границы ответственности (кто отвечает за ее реализацию, проведение в жизнь, проверку, пересмотр), определять, что является основой политики безопасности сети и почему именно это. Последнее замечание очень важно, так как произвольная политика, «спущенная сверху» без объяснений, скорее всего, будет проигнорирована. Более правдоподобно, что сотрудники станут следовать ясной, краткой, логичной и последовательной политике.

Политика безопасности – это то, как вы определяете, какие меры противодействия использовать. Нужен ли вам брандмауэр? Как его сконфигурировать? Нужны ли маркеры доступа или достаточно использования паролей? Можно ли пользователям разрешить доступ к видео с их браузеров? Если нет никакой политики, то нет и возможности логически обосновать ответы на эти вопросы.

К сожалению, большинство организаций не имеют сетевой политики безопасности. А если и имеют, то никто ее не придерживается. Я знаю историю проверки одной сети, в которой использовался брандмауэр, защищавший границы между двумя половинами внутренней сети. «Какая сторона находится внутри брандмауэра, а какая – вне его?» – спросил проверяющий. Этого никто не знал. Это – пример организации с плохой политикой безопасности.

В любом случае политика безопасности должна в первую очередь давать ответы на вопрос «почему», а не «как». «Как» – это тактика, контрмеры. Трудно выбрать правильную политику, но еще труднее определить комплекс мер противодействия, которые позволят ее реализовать.

Мы коснулись различных аспектов этой проблемы в главах, посвященных защите программного обеспечения от копирования, присвоению интеллектуальной собственности и цифровым водяным знакам. Некоторые компании продают программные продукты с правами исключительно индивидуального пользования: аудио– и видеофайлы, которые нельзя скопировать или перепродать; данные, которые можно прочитать, но нельзя распечатать; программное обеспечение, которое не может быть скопировано. Другие компании «продвигают» по электронной почте свои секретные решения в письмах, которые нельзя прочитать по прошествии времени и которые автоматически «удаляются» после определенной даты. Третьи используют технологии электронной коммерции, в которых реализованы другие виды прав.

Общая идея всех этих решений состоит в том, что Алиса может послать Бобу файл, а затем проверить, что впоследствии происходит с полученным файлом. В случае программ, распространяемых по почте, Алиса хочет контролировать удаление файла с компьютера Боба. Если речь идет о продуктах с правами исключительно индивидуального пользования, Алиса посылает Бобу файл, но ограничивает время его просмотра, возможности копирования, изменения и пересылки третьим лицам.

Но это не работает. Контроль над тем, что Боб делает с некоторыми данными, предполагает, что доверенное (Алисой) программное обеспечение установлено на компьютере Боба. Такого не бывает, поэтому эти средства неэффективны.

В качестве примера рассмотрим игры онлайн. Многие игры в Интернете позволяют участвовать в них множеству игроков одновременно, а в некоторых даже проводятся турниры с денежными призами. Хакеры придумали компьютерных противников – ботов (bot), которые помогают в игре, особенно в таких, как Quake и NetTrek. Идея состоит в том, что бот реагирует намного быстрее, чем человек. Таким образом, игрок, их использующий, получает большие преимущества[52]. За этим последовала «гонка вооружений», когда создатели игры пытались выводить из строя этих союзников игроков и заставлять играть по справедливости, а хакеры, в свою очередь, делали более умных и менее уязвимых ботов.

Эти игры создаются в расчете на доверяемое клиенту программное обеспечение, а хакеры умело разрушают любую хитрость, противопоставленную разработчиками игр. Я постоянно восхищаюсь усилиями хакеров, которые они прилагают, чтобы преодолеть системы безопасности. Из этого можно извлечь двойной урок: не только неразумно считать, что программы будут использоваться согласно оказанному доверию, но также нет никакого способа когда-либо достичь нужного уровня защиты.

Противниками всех этих систем – пропадающих почтовых сообщений, ограничения права пользования музыкой и видео, справедливого ведения игры – являются два типа нападающих: средний и квалифицированный пользователи. От среднего пользователя можно защититься любыми средствами. Дядюшка Стив хочет только получить бесплатно копию Norton Utilities, Короля-Льва или самого последнего компакт-диска Робина Хичкока. Для этой ситуации не существует аналога в физическом мире; дядюшка Стив не сможет сделать отдельную копию сумочки от Шанель, даже если он этого захочет. С одной стороны, он более неуловим; с другой – причиняет меньше материального ущерба. Дядюшка Стив – не организованный преступник, он не собирается создавать преступную сеть. Он даже не станет покупать программное обеспечение, видео– или компакт-диск в том случае, если ему не удастся раздобыть бесплатную пиратскую копию. Остановить дядюшку Стива способны почти все меры противодействия, и нет необходимости в сложных программах для обеспечения безопасности.

Против квалифицированного пользователя бессильны любые контрмеры. В главе 16 я описывал героический путь, который преодолевают некоторые хакеры, чтобы взломать схемы защиты от копирования. Ранее в этой главе я рассказывал о специально разработанных программах-ботах, которые разрушают интерфейс пользователя в компьютерных играх. Поскольку преодоление контрмер имеет такое большое значение для хакеров, бесполезно пытаться построить систему, которая была бы неуязвима. И что еще хуже, большинство систем нуждаются в защите от наиболее ловкого взломщика. Если один человек взламывает Quake (или «Интердоверие», или «Пропажа Инк.»), он может придумать программное средство «выбрать и щелкнуть», которое затем использует любой желающий. Систему безопасности, которая была неприступна почти для всех, сумеет после этого вскрыть каждый.

Единственно возможное решение состоит в том, чтобы поместить механизм дешифрования в защищенное аппаратное устройство в надежде на то, что это замедлит работу профессионалов на несколько лет. Но как только кому-нибудь понадобится «программный проигрыватель», защита будет взломана в течение считанных недель. Индустрия DVD столкнулась с этим еще в 1999 году. Компания Glassbook приобрела такой опыт в 2000 году, когда незащищенные копии Верхом на ядре Стивена Кинга появились через два дня после того, как была выпущена электронная версия книги (возможно, имевшая защиту от копирования).

Любая разумная политика безопасности исходит из того, что от профессиональных пиратов невозможно защититься с помощью технологий. Профессиональные пираты в цифровом мире не отличаются от людей, которые подделывают сумочки от Шанель, и общество знает способы поимки таких людей (механизмы обнаружения и реагирования в физическом мире). Они могут быть эффективными или нет, но они совершенно бесполезны в случае борьбы с подделками в цифровом мире. Такая политика безопасности признала бы, что Дядюшка Стив – любитель, и что почти любая мера противодействия ему является достаточной до тех пор, пока она не будет взломана окончательно или не окажется заведомо уязвимой.

Обратите внимание, что это исследование показывает, что разумные поставщики продуктов должны найти альтернативные способы получения прибыли. Продажа копий книги в цифровом мире не приносит такого же дохода, как в мире вещественном. Намного выгоднее продавать обновления в реальном времени, подписку, а кроме того, есть дополнительные причины, чтобы люди покупали бумажную копию. Мне нравится покупать компакт-диски, а не копировать их, потому что я получаю вкладыш с пояснениями. Я также покупаю настоящую книгу вместо того, чтобы распечатывать ее электронную копию, потому что книгу в переплете удобно носить с собой. Я готов платить за биржевые сводки, поскольку эта информация ценна тогда, когда поступает своевременно.

Реализацию альтернативных моделей можно видеть в методах общественного финансирования добрых дел: общественное телевидение, общественное искусство и уличные представления. Представления проводятся бесплатно, но индивидуальные пожертвования позволяют им состояться. Вместо того чтобы установить продажную цену в 29,99 доллара на эту книгу, возможно, я должен был поместить на веб-странице предложение о внесении взносов. Я написал бы книгу и поместил бы ее в общедоступном домене, но только после того, как получил бы взносы на 30 000 долларов. (Эта идея использовалась для финансирования некоторых анти-бушевских кампаний в 2000 году. Люди обязуются сделать взносы со своих кредитных карточек, но деньги будут востребованы только в том случае, если соберется необходимая сумма. Заметьте, компания, выпускающая кредитные карточки, действовала как доверенное третье лицо в этой сделке.)

В других отраслях по-разному решают эти вопросы. Наиболее разумные компании, проводящие игры, выходят из положения, в частности, допуская использование ботов в некоторых турнирах, но проводя заключительные раунды в узком кругу, на проверенном компанией компьютере. Самые недоверчивые фирмы, поддерживающие электронную почту, подчеркивают, что при установке системы безопасности скорее происходит умаление ответственности, нежели достигается абсолютная безопасность программного обеспечения. Угрозу представляют не злонамеренные пользователи, копирующие и распространяющие электронную почту, а честные служащие, забывающие удалить почту, и злостные адвокаты, спустя годы использующие эту корреспонденцию в суде. Но попытка ограничить возможности пользователя на персональном компьютере обречена на неудачу. Честные люди остаются честными, но при этом возникает обманчивое чувство безопасности. Впрочем, иногда и этого достаточно.

Банкоматы – интересный пример, поскольку модели доверия и безопасности в этом случае переплетены более, чем это кажется на первый взгляд. Банкомат – это сейф, который выдает деньги по команде некоего внешнего устройства. Машина считывает данные пользователя (информацию с магнитной полосы и идентификационный номер), посылает их на центральный сервер и получает ответное сообщение (выдать деньги или отказать, не возвращать карту и т. д.). Банкомат должен быть защищен от мошенников на линиях связи, от взломщиков и от возможности того, что сейф просто увезут. Также необходимы контрольные записи на случай возникновения споров (такой вид учета еще далеко не идеален).

Многие люди должны иметь доступ к банкоматам. Инкассаторы объезжают их на бронированных машинах, чтобы наполнить автоматы наличными деньгами. Обслуживающий персонал должен иметь к ним доступ как в установленное по графику время, так и незамедлительно в случае чрезвычайной ситуации. И если вспомнить, что состав персонала и охраны может меняться, банк должен иметь возможность прекратить доступ для одних работников и ввести доступ для других.

Также примите в расчет простые финансовые калькуляции. Потери от утраты банкомата определяются только стоимостью его замены и суммой наличных денег внутри. Не имеет смысла тратить 10 миллионов долларов на меры безопасности.

Криптография здесь довольно проста. Канал связи не нуждается в шифровании, требуется только аутентификация. Это можно сделать с помощью или МАС-адресов, или цифровой подписи. Контрольные записи, защищенные хэш-функцией, должны сохраняться и в банкомате, и на сервере.

Обеспечение компьютерной безопасности в этом случае очевидно. Машина должна все проверить. В подозрительных случаях она скорее завершит работу, чем необдуманно выдаст деньги. Программное обеспечение должно быть таким, чтобы его было трудно изменить и обслуживающий персонал не смог бы внедрить в систему троянских коней.

Обеспечение физической безопасности – тоже простая задача. Деньги обязаны храниться в сейфе. Здесь должны находиться и контрольные записи всех, кто открывает сейф (возможно, каждый человек будет иметь свою собственную комбинацию или уникальный маркер доступа). Любые долговременные шифровальные ключи должны быть стерты при первых признаках вмешательства.

Интересно заметить, что владельцы банкоматов только недавно получили в свое распоряжение адекватные физические меры противодействия. До недавних пор банкоматы устанавливали в стене банка или другом безопасном месте. В этой книге я упоминал о грабителях, которые увозили автоматы целиком, что причиняло массу беспокойства. Впоследствии кто-то пришел к заключению, что эти нападения единичны и что можно заработать намного больше денег, если установить банкоматы на каждой автостанции, в каждом баре, торговом центре и на каждой бензоколонке. Это были маленькие автономные банкоматы, не столь защищенные, но последнее не имело значения. Если их устанавливать в общественных местах, то появится больше возможностей для обнаружения и реагирования. В них хранится меньше наличности, поэтому и риск меньше. А доходы высоки, так что они достаточно выгодны. Даже если и исчезнет случайно какой-либо банкомат, идея стоит того.

Совсем недавно появилось другое новшество в политике безопасности. Кто-то наконец осознал, что банкомат состоит из двух частей: хранилища денег и сетевого компьютера, который указывает хранилищу, когда и сколько выдать денег. И нет никакой необходимости соединять эти две части в одном месте. В магазинах уже используется защищенное хранилище денег – кассовый аппарат. Теперь некоторые банкоматы представляют собой только компьютер, и они не содержат наличных денег внутри. Компьютер проводит аутентификацию и затем печатает бланк. Клиент относит бланк к кассовому аппарату и получает деньги. Все это хорошо работает только в случае небольших денежных сумм, но система действует. Это – изящный пример правильного подхода к безопасности… до тех пор, пока кто-нибудь не подделает бланк.

Компьютеризированные лотерейные терминалы используются в большинстве лотерей типа «Кено». Организаторы лотереи приобретают защищенный компьютер и принтер, который печатает и заверяет лотерейный билет с выбранными номерами. Один или два раза в неделю проводится розыгрыш. Выигрыши бывают как маленькие, так и очень большие.

Угрозы в этом случае очевидны. Опасность исходит непосредственно от самих организаторов лотереи, которые могут вступать в сговор с людьми, обслуживающими лотерейную систему. Они способны мошенничать одним из двух способов: «покупкой» билетов или изменением информации об уже купленных билетах после того, как результаты станут известны. Более изощренный способ – использование ложного терминала, который собирает деньги, но вовсе не выплачивает выигрыши (на самом деле было бы разумнее выплачивать маленькие выигрыши и исчезнуть, когда кто-нибудь сорвет куш).

Эти опасности возникают в случае открытой политики безопасности. Терминалы лотереи должны работать в режиме онлайн и регистрировать все выбранные комбинации чисел на центральном сервере. На этом сервере должны храниться контрольные записи с маркерами времени, и он должен направлять терминалам информацию, которая будет печататься на билете. Сервер в первую очередь должен иметь средства обеспечения безопасности при проведении лотереи. И должен быть предусмотрен способ выявления ложных организаторов лотереи: очевидно, следует позволить получать небольшие выигрыши у любого распространителя билетов, а не только у того, который их продал. Помогают также регулярные проверки.

Есть еще много деталей, которые требуют проработки, но общую идею вы уже представляете.

В заключение давайте рассмотрим два различных механизма защиты: смарт-карты и запоминающие карты с магнитной полосой. В главе 14 я рассказывал о защите от вмешательства, посягательствах на смарт-карты и о безопасной территории. В главе 19 описывалась модель угроз гипотетической электронной валюте, основанной на смарт-картах. Обладая этими знаниями, давайте зададимся следующим вопросом: будет ли более безопасно пользоваться смарт-картой (картой с микропроцессором), чем картой с памятью (или только с микросхемой памяти, или с магнитной полосой) в конкретном случае?

Тому, кто способен взломать смарт-карту, это безразлично. Он умеет восстанавливать данные с карт обоих типов, но эти карты могут использовать шифрование в качестве защитной меры. Для того, кто не в силах взломать карту, это имеет существенное значение. Он, возможно, умеет считывать данные карты с магнитной полосой, но не может проникнуть в память смарт-карты. С другой стороны, если информация зашифрована каким-либо способом, также не имеет значения, может ли он считывать магнитную полосу. Возможно, в этом случае имеется меньше различий, чем следовало предположить.