Бюллетень CSL NIST за май
1996 года
Компьютерные
пользователи находят Интернет и WWW
очень полезными при поиске
информации, публикования
документов и обмена информацией.
WWW-приложения стали популярными
из-за доступности ПЭВМ, имеющих
высококачественную графику,
легкого доступа к Интернету,
простоты языка гипертекстовых
документов(HTML) и сетевого протокола
для него.
В результате многие
организации и люди знают о WWW и
пользуются им. WWW предоставляет все
виды информации, от научных статей
до маркетинговой информации ,
клубных календарей и семейных BBS.
Мириады сервисов по индексации и
поиску в WWW позволяют читателям
находить, то что они ищут.
Организации также используют
Интернетовские протоколы для
поддержки своих внутренних сетей(
интранеты).
Хотя WWW используется и для
других приложений, таких как
электронная коммерция, его
основное назначение - публикация в
Интернете. Этот бюллетень посвящен
общим вопросам безопасности,
связанным с использованием WWW, и
основное внимание уделяет анализу
риска для читателей WWW и тех, кто
публикует информацию с его помощью.
Web-читатель - это любой,
кто использует WWW-бразуер(
клиентское приложение WWW, которое
обычно поддерживает несколько
протоколов WWW) для доступа к
информации в WWW. Web-издатель - это
человек или организация,
использующая Web-сервер для
предоставления информации и
доступа к приложениям внутренних
или внешних пользователей.
Целью управления риском
является соблюдение баланса между
ожидаемой выгодой и
непредвиденными потерями таким
образом, чтобы выгода была
максимальна, а убытки - минимальны.
Некоторые читатели могут
использовать Web просто для
развлечения, но сотрудники
организаций могут понести убытки(
или получить выгоду). Некоторыми
видами выгоды, которые ожидает
получить Web-читатель, являются :
Количественная оценка
выгоды проблематична. Одной из мер
могла бы стать оценка того,
насколько больше времени было бы
потрачено на получение информации
другими способами. Потенциальные
убытки квантфицировать несколько
легче.
Некоторыми наиболее
вероятными убытками, которые может
понести Web-читатель, и их причинами
являются:
Большинство угроз
Web-читателю не являются новыми, но Web
делает их особенно опасными и
разрушительными. Например, вирусы
распространялись годами, но только
интерфейс Web-браузера "укажи и
щелкни" сделал легким их
моментальную загрузку и
выполнение. Любой, кто имеет
телефон, подвергается риску
навязчивой телемаркетинговой
рекламы, но виртуальные магазины Web
с их приятной графикой кажутся
более надежными, чем человеческий
голос по телефону. Многие компании
собирают и продают информацию о
покупках, сделанных людьми уних, но
никто не будет ожидать, что
просмотр онлайновой брошюры
приведет к добавлению его адреса
электронной почты к базе данных
телемаркетинга.
Web-угрозы возникают из-за
ошибок при разработке программ,
ошибок в популярных операционных
системах, недостатков
Интернетовских протоколов и
проблем с контролем в Интернете.
Ошибки в программах
частое явление в ходе разработки
программ. Разработчики постоянно
добавляют новые возможности для
того, чтобы сделать свои продукты
самыми лучшими на рынке программ.
Пользователи часто предпочитают
использовать самую последнюю и
известную версию любого Web-клиента
или сервера. Большая часть этих
программ предоставляется по
принципу "попробуй перед тем, как
купить", что позволяет людям
тестировать программы, но не дает и
никаких гарантий отсутствия
ошибок.
Web-браузеры особенно
опасны, так как они могут позволить
получить доступ к подозрительным
системам и часто вызывают другие
программы как свой побочный эффект.
Некоторые из них также могут
функционировать как FTP-клиенты( для
передачи файлов), клиенты системы
телеконференций USENET( дискуссионные
группы в Интернет), или клиенты
электронной почты. Каждая новая
возможность увеличивает риск
опасных ошибок.
В Интернете трудно предотвратить самозванство человека или организации. Идентификация компьютерных пользователей обычно имеет смысл внутри организации и зависит от правил, принятых в организации, и того, как они реализуются. Почтовый адрес может идентифицировать, а может и нет, уникального человека, а многие организации просто не предоставляют внешний доступ к внутренним почтовым адресам. В любом случае электронное письмо обычно легко подделать, имея электронный эквивалент открытки. Хотя безопасные протоколы электронной почты уже предлагаются, ни один из них не стал стандартом и не получил широкого применения.
(От переводчика. Следует
все же упомянуть программу PGP,
которая стала стандартом де-факто
для организации безопасной личной
переписки людей, но не организаций.
Ее легко можно достать и она проста
в эксплуатации. Наверняка,
некоторые заметили, что некоторые
зарубежные тексты сопровождаются в
конце блоком букв и цифр,
начинающегося со строки "...PGP
Message..."- это и есть работа PGP).
Когда браузер
устанавливает сеанс с Web-сервером,
сервер получает интернетовский
адрес клиентской системы. Если это
многопользовательская система, то
сервер не сможет узнать, какой из
пользователей системы установил с
ним сеанс. Адрес же
однопользовательской ПЭВМ тоже не
будет полезным, так как ПЭВМ часто
используют коммутируемое
соединение с Интернетом, и им
динамически назначается новый
адрес всякий раз, когда они
соединяются с Интернетом.
До недавнего времени при
регистрации имен доменов в
организации, отвечающей за это,
требовалась только уникальность
запрашиваемого имени. Не
требовалось доказательств того,
что имя типа ORPHANS.ORG( мнимая
организация) будет использоваться
некоммерческой организацией, а имя
WXY.COM будет принадлежать
действительно какой-то фирме.
Поэтому пользователи Интернета не
могут идентифицировать и
аутентифицировать человека или
организацию в Интернете на
основании его доменного имени.
Перехвата данных
сетевого траффика нельзя избежать,
так как ЛВС используют
широковещательные протоколы, и
данные не шифруются, пока
передаются по общественным сетям.
Вы должны быть также осторожны при
использовании Web для передачи
критической информации, как если бы
говорили что-то конфиденциальное
по простому или сотовому телефону.
Цена возмещения убытков
может оказаться небольшой или
громадной. Пользователи могут
потратить много дней,
восстанавливая данные после
вирусной атаки. Искажение данных
бывает более сложно обнаружить и
исправить, так как оно может быть
неочевидным. Самозванство может
привести к чему угодно - от
фальшивого любовного письма до
чека на 10 тысяч пицц( с анчоусами).
Есть некоторые способы
уменьшить риск для Web-читателя.
Самые простые основываются на
избегании потерь.
Другие меры защиты
основаны на контроле за ущербом или
сведении его к минимуму:
Проблему с самозванцами
трудно решить. Организация может
иметь хорошие аппаратно-програмные
меры защиты в своем интранете,
чтобы сделать самозванство внутри
организации достаточно сложным.
Она также может ввести некоторые
организационные меры для
предотвращения или локализации его
последствий. Но Web- это часть
Интернете, который является
международной системой сетей.
Никто не занимается борьбой с
злоупотреблениями в масштабах
всего Интернета.
Шифрование с открытыми
ключами может использоваться для
идентификации людей, компьютерных
систем, и организаций. Но пока, все
еще не существует глобальной
инфраструктуры для поддержки
управления ключами. Отдельные
организации могут использовать
этот вид идентификации в своем
интранете, а ряд коммерческих
Web-серверов и браузеров реализуют
специфические протоколы обмена
ключами, чтобы Web-сервера могли
аутентифицировать себя перед
браузерами. (От переводчика. И
снова стоит упомянуть Netscape. Если вы
обращали внимание - в нем можно
указать открытые ключи для
аутентификации серверов. Именно с
аутентификации сервера начинается
создание защищенного канала).
С технической точки
зрения самым простым способом
борьбы с перехватом данных
является шифрование сообщений и
каналов. Но использование
шифрования для конфиденциальности
имеет свои недостатки, связанные с
использованием шифрования для
идентификации людей. Его легко
можно реализовать внутри
организации, но тяжело реализовать
между организациями. Шифрование
всего сетевого трафика может
оказаться дорогим в плане
оборудования, программ и
вычислительных затрат.
Некоторые коммерческие
Web-серверы и браузеры поддерживают
шифрование всех Web-запросов между
браузером и сервером. Сейчас
большая часть безопасных серверов
может общаться только с браузерами
того же производителя и может
использовать только ключи,
истинность которых подтверждается
ограниченным числом центров
сертификации ключей. В конечном
счете, большинство
Web-производителей будут
использовать Web-сервера, которые
предоставляют аутентификацию
серверов на основе открытых ключей
и шифрование канала между
браузером и сервером.
Организация должна дать
рекомендации и обеспечить
поддержку своих Web-читателей. В
организации должно иметься ясное,
эффективное и реализуемое
"Положение об использовании WWW и
безопасности при работе в
Интернете".
Некоторыми из мер,
которые может предпринять
организация, являются:
Такие технологии, как
активные формы или загружаемые
апплеты, должны тщательно
анализироваться и проверяться
перед выдачей разрешения на их
использование в организации.
У Web-издателей те же самые
проблемы, что и у Web-читателей. Им
нужно оценить потенциальный ущерб
от различных угроз и реализовать
ряд мер по уменьшению риска.
Типы ущерба, который
может понести Web-издатель,
аналогичны тому, что описывалось
для Web-читателя, а именно:
Ошибки в программах
сервера или их конфигурации могут
испортить или привести к порче
информации или программ. Ошибки,
связанные с безопасностью, были
обнаружены во всех популярных
Web-серверах для Unix.(От переводчика.
Такие ошибки были обнаружены и в
Microsoft Internet Information Server, что привело к
ряду проникновений в Web-сервера в
России в 1996 году) . Большая часть
ошибок была вызвана хроническими
ошибками при программировании на
языке C в Unix при обработке строк,
переменных Среды, и использования
вызова функции system(). Теоретически,
так как для большинства серверов
исходные тексты были доступны, то
такие ошибки должны были бы быть
сразу замечены пользователями в
Интернете, загрузившими этот код.
Но практически большинство
пользователей загружает сразу и
двоичный выполняемый модуль и
никогда не анализирует исходный
текст, или просто кратко
просматривает его перед
компиляцией и установкой.
Пользователи думают, что кто-то
более грамотный, чем они, уже
исследовал код.
В большей части
Web-серверов имеется некоторый вид
управления доступом; они могут быть
сконфигурированы таким образом,
что будут принимать или отвергать
соединения на основе
Интернетовского адреса или
доменного имени. Существует
несколько проблем при
использовании этого метода. Как уже
описывалось выше, Интернетовские
адреса и доменные имена являются
плохим методом идентификации.
Кроме того, даже если вы атакующий
не может сконфигурировать свой
компьютер так, чтобы он имел чужой
адрес, трудно проверить, корректны
ли правила конфигурации и
правильно ли автор Web-сервера
реализовал алгоритмы управления
доступом.
У Web-серверов имеется
масса дополнительных возможностей.
Большая часть популярных
возможностей очень хорошо
проверена, но при использовании
других пользователи уже
столкнулись с рядом проблем. Если
вы используете экзотическую или
экспериментальную возможность, вы
рискуете.
CGI-программы позволяют
Web-серверу выполнять внешние
программы при обращении к
конкретному URL(универсальному
локатору ресурсов). Это делает
сервер шлюзом для обращения к
другим программам, которые могут
выполнять запрос к базе данных или
оперативное создание HTML. К
сожалению легко создать
небезопасные CGI-программы, которые
позволят атакующему перехитрить
Web-сервер и выполнить другие
программы. Только грамотное
конфигурирование Web-сервера и
CGI-программ, а также анализ кода CGI,
могут предотвратить эти ошибки. (От
переводчика. Осенью 1996 года в
Москве имел место ряд
проникновений в машины через
Web-сервера из-за ошибки в
CGI-программе, позволявшей
атакующему получить файл паролей
машины. К счастью эта группа
хакеров, назвавшая себя Кибермыши с
Марса, только хулиганила и помещала
на головную HTML-страницу сервера
ссылку на порнографический сервер -
"Свободную зону" как признак
своего проникновения.)
Если в Web-сервер проникли,
то он может служить как отправная
точка при атаке на другие системы и
сети в организации. Может быть
нарушена безопасность организации
и ее клиентов, если на сервере
хранились конфиденциальные данные.
Системы управления производством
могут бытьв выведены из строя. Если
на сервере хранились финансовые
данные, то они могут быть искажены
или украдены. Может пострадать
репутация организации, если эта
информация будет злонамеренно
искажена или клиентам будет
отказано в сервисе.
Научитесь осуществлять
централизованную координацию
Web-публикаций в вашей организации.
Установите процедуры проверки
безопасности и целостности ваших
Web-серверов и их содержимого.
Сделайте их простыми.
Запустите Web-сервер на системе, с
которой убрано все, то есть
отключите ненужные сетевые
протоколы, создайте минимальное
число пользовательских счетов, и
удалите ненужные программы.
Разбейте систему на
части, чтобы ограничить ущерб,
который может быть вам нанесен.
Например:
Следите за сообщениями об
ошибках в Web-программах, особенно
связанных с безопасностью. Следите
за разработками в области
Web-безопасности, в области
шифрования, аутентификации и
протоколов электронных платежей.
Говорите производителям
Web-программ, что качество более
важно, чем новые возможности.
Вы должны защищаться
сами, так как другие меры защиты
действуют "после того".
Университет никогда не сможет
заставить студентов не проникать в
вашу систему. ФБР никогда не сможет
вернуть вам деньги, потерянные в
результате телемаркетинга. Вы не
должны ждать, пока Интерпол станет
расследовать ваше дело.
По мере того, как Интернет
и WWW развиваются, вы должны
продолжать заниматься
самообучением и обучать других
сотрудников вашей организации
работе с новыми протоколами,
форматами файлов, приложениями и
продуктами.
Дополнительную
информацию вы можете получить в:
WWW Consortium Security Resources
http://www.w3.org/pub/WWWW/Security/
WWW Security Frequently Asked Questions
http://www-genome.wi.mit.edu/Web/faqs/www-security-faq.html
NIST Computer Security Resource Clearinghouse
http://csrc.nist.gov/