29 марта, 2007

ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и каковы причины?

А.Ю.Щеглов, д.т.н, проф.

ЗАО «НПП «Информационные технологии в бизнесе»

www.npp-itb.spb.ru

Вместо введения приведем следующее, несколько шокирующее сообщение, весьма ярко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемся материалами, опубликованными в открытой печати):

Честно говоря, в это не хочется верить. Попробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. Если же наши опасения подтвердятся, попытаемся ответить на вопрос, а что же мы противопоставляем «расширяющейся пропасти», что мы делаем, чтобы адекватно отреагировать на риски ИТ-безопасности. С этой целью рассмотрим основу основ ИТ-безопасности – компьютерную безопасность.

Только факты.

В качестве критерия оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. Тогда в качествеосновных параметров защиты следует рассматривать интенсивности отказов и восстановления средства защиты.

Сначала рассмотрим статистику обнаружения уязвимостей в ОС. Проиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:

По данным mi2g ежегодно хакерами взламывается до 90% сетей предприятий.

Динамика роста обнаруженных уязвимостей представлена на рис.1.

* — за 7 месяцев

Рис.1. Динамика роста обнаруженных уязвимостей

Возможно, что подобное положение дел касается только одного конкретного системного средства. Отнюдь. Подтвердим сказанное:

  1. "Величина ущерба от действий хакеров разнится. Если по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составляет 17 млрд. долларов, то по 2004 году оценки совершенно разные. По данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак - явных и скрытых - может достигнуть 155,5 млрд. долларов. По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий;
  2. Один из основных элементов безопасности - это операционная система компьютера. Британские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX - BSD (Berkeley Software Distribution). Операционные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. Свои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года;
  3. Среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows - 25%.

Следуя данной новости, появляется надежда на то, что все-таки можно отыскать те ОС, которые можно отнести к безопасным? Но вот очередная новость:

Теперь, в нескольких словах, об интенсивности исправления уязвимостей в ОС. На наш взгляд, весьма показателен следующий пример. Обратимся к публикации К.Касперски «Обзор эксплойтов» в журнале «Хакер» от декабря 12(96) 2006, см. стр.60-65. Приведем без комментариев несколько выдержек из этой статьи «Просто поразительно, как гиганты компьютерной индустрии реагируют на сообщения об ошибках, которые они не могут исправить. 22 октября 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Но та продолжила выпускать дырявые операционные системы, а для уже существующей заплатка отсутствует и по сей день». Следующая выдержка «…система не препятствует ремапингу секции с атрибутами чтения/записи, что позволяет любому локальному пользователю проникнуть на уровень ядра…». Далее «По заявлению Argeniss Research Team, уязвимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». Что же нам, как потребителям, рекомендует автор этой статьи «Официальной заплатки от Microsoft до сих пор нет, и все, что нам остается – это мигрировать на Server 2003 или Vista, в которых огрехи проектирования без лишнего шума были устранены (но, как известно, исправляя одну ошибку, Microsoft добавляет десяток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».

Чудовищно, критическая уязвимость существует более двух лет и не исправляется производителем. В это трудно поверить! Однако, исходный код эксплойта для данной уязвимости, в подтверждение сказанному, автор привел в своей статье. Заметим, что описанная атака не так и критична – в результате запуска эксплойта увидим «синий экран». Однако сам автор заявляет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.

Небольшое исследование.

На основании приведенного выше исследования, можем сделать неутешительный вывод о том, что уязвимости системных средств ежегодно обнаруживаются десятками (причем, обратим внимание, к уязвимости системного средства могут приводить и ошибки в приложениях, что определенным образом характеризует архитектурные решения по реализации защиты этих средств), а их устранение (исправление архитектурных ошибок и ошибок программирования) может составлять месяцы, а то и годы. Проведем небольшое исследование и попытаемся ответить на вопрос, а как же все это сказывается на уровне эксплуатационной безопасности системного средства. Насколько же оно реально защищено?

Для оценки эксплуатационной (реальной, или истинной) безопасности системного средства может быть построена математическая модель с использованием аппарата теории массового обслуживания (по аналогии с тем, как это делается в теории надежности, ведь, в конечном счете, применительно к средству защиты информации,надежность – это свойство средства обеспечивать защиту информациив течение заданного промежутка времени).Приведем пример простейшей математической модели. Будем считать, что потоки обнаружения уязвимостей – отказов средства защиты, и процесс их устраненияявляются пуассоновскими (описывающими наиболее случайные события), причем уязвимости устраняются по очереди (не одновременно – будем использовать модель с одним обслуживающим прибором), по мере их обнаружения (наверное, именно в этом состоит некая «грубость» данной математической модели, однако, на практике, в большинстве случаев, подобное упрощение уместно, если речь идет об одном системном средстве, особенно в предположении, что интенсивность обнаруживаемых уязвимостей и время их устранения разработчиком невелики – в противном случае и анализировать-то нечего). В данных предположениях,вероятность того, что в любой момент времени объект защищен (определяется тем условием, что число не устраненных уязвимостей равно 0) можно оценить по следующей простейшей формуле:


Естественно, что на практике нас будет интересовать установившийся режим (условие стационарности), определяемый выполнением условия:

т.к. не выполнение этого условия означает неограниченный рост уязвимостей, что характеризует состояние полной незащищенностисистемного средства, что определяется условием
Зависимости:

для различных значений интенсивностей обнаружения уязвимостей (значения интенсивностей обнаружения уязвимостей заданы в единицах: число/год, а интенсивность устранения уязвимостей – ось абсцисс, заданы в 1/неделя – за сколько недель в среднем устраняется одна уязвимость), рассчитанные с использованием нашей математической модели, приведены на рис.2.

На этом рисунке следует обратить внимание на выделенную пунктирную прямую (на рис.2 имеет красный цвет). Она характеризует, что в любой момент времени объект защищен с вероятностью 0,5. Это означает, что в любой момент времени системное средство либо защищено, либо нет. Все значения, располагаемые ниже этой прямой, характеризуют следующее свойство средства защиты – системное средство скорее не защищено, чем защищено, располагаемые выше этой прямой – системное средство скореезащищено, чем не защищено.

Рассмотрим гипотетически идеальный случай – в среднем обнаруживается одна уязвимость в год (зеленая кривая на рис.2). Эта зависимость нам интересна с точки зрения того, как влияет на эксплуатационную безопасность интенсивность устранения уязвимостей. Видим, что подобное влияние весьма заметно. Из рис.2 следует, что если в среднем уязвимость (в частности, ошибка программирования) исправляется