"Здравствуйте! С вами говорит агент Дэлримпл из отделения ФБР по борьбе с компьютерной преступностью. У нас есть основания предполагать, что информация вашего Web-узла находится под угрозой".
Такое многообещающее приветствие вряд ли обрадовало потерпевших. Еще более шокирующим оказался тот факт, что до этого они просто не подозревали о вторжении на их Web-узлы.
Преступником оказался Карлос Сальгадо, неоднократно взламывавший серверы различных компаний, включая провайдеров Internet, и располагавший информацией о кредитных картах.
В конце концов он был взят с поличным в международном аэропорту Сан-Франциско при попытке сбыта переодетому сотруднику ФБР 86326 номеров действующих кредитных карт за 260 тыс. долл.
Как Сальгадо мог заполучить эту информацию? Он пользовался традиционными приемами из арсенала хакеров. С помощью программы слежения за пакетами (packet sniffer) он получал доступ к данным, передаваемым по Internet, но это была не информация об отдельных кредитных картах, а пароли для доступа к серверу, на котором хранились данные о большом числе электронных бумажников. Преступник не стал отвлекаться на индивидуальные транзакции, а сразу перешел к атаке на сервер.
Как обезопасить себя от атак хакеров
По мнению независимого консультанта по проблемам безопасности Рика Фароу, первым делом необходимо принять меры, которые подсказывает здравый смысл.
Однако они применимы не во всех случаях. Например, некоторые компании предпочитают размещать базы данных с информацией о своих покупателях и товарах на одном компьютере с Web-сервером, осуществляющем выборку из этих баз данных посредством шлюзового интерфейса CGI. Такой подход очень опасен, считает Фароу, потому что любая ошибка, допущенная при создании серверных приложений, открывает перед злоумышленником неограниченный доступ к системе.
Достаточно высокий уровень безопасности транзакций покупателя можно гарантировать в случае, если Web-сервер применяет протоколы Secure Sockets Layer и Secure HTTP. Большинство браузеров поддерживают эти протоколы, обеспечивая возможность для защиты транзакций клиентов.
Первой линией обороны надежного Web-сервера является брандмауэр. Обычно он располагается между Web-сервером и локальной сетью, что позволяет контролировать обращения к ней.
Ни в коем случае нельзя хранить конфиденциальные данные на Web-сервере, а локальная сеть должна быть хорошо защищена от доступа извне.
Как защититься от атаки
По мнению Ричарда Пауэра, служащего компании Computer Security Institute, проблема безопасности индивидуальных транзакций или информации об отдельных владельцах кредитных карт стоит не так остро, как вопрос о сохранности серверов, куда занесены тысячи номеров кредитных карт. Значение защиты подобных данных трудно переоценить.
Сальгадо правильно определил ценность баз данных, хранимых на взломанных им серверах. И все эти серверы оказались уязвимы для классических видов атак, подробно описанных в Usenet и хакерском журнале 2600.
Как же все-таки менеджерам информационных систем предотвратить подобные удары на Web-узлы? Им надо знать о профилактических мерах и применять их регулярно, обращая особое внимание на все возможные объекты нападения.
Нельзя забывать о возможности атаки изнутри. Пауэр сказал, что использование брандмауэров подразумевает защиту от внешней угрозы, однако злоумышленник, затаившийся в стенах самой фирмы, представляет значительно большую опасность. В этом случае брандмауэр не поможет.
Уязвимость системы безопасности
Чтобы точнее определить степень защищенности системы, Пауэрс советует инвестировать в безопасность больше средств.
Типичная крупная корпорация в лучшем случае имеет одного специалиста по информационной безопасности на тысячу пользователей. Этого мало, потому что в электронную коммерцию вложены огромные деньги, а преступность активизируется именно там, где пахнет наживой.
Наряду с привлечением штатных специалистов по безопасности, можно также использовать существующие пакеты программ, отыскивающих слабые места в системе защиты. Например, компания Internet Security Systems (www.iss.net) предлагает программный продукт Internet Security Scanner, который имитирует множество известных типов атак и позволяет запустить полномасштабную атаку на ваш Web-узел для проверки системы безопасности.
По мнению Криса Клауса, основателя компании Internet Security Systems, брандмауэры необходимы для ограничения доступа извне к локальным сетям организации, но главная задача заключается в обеспечении безопасности обмена данными, не препятствуя при этом самому обмену. Например, брандмауэр приходится конфигурировать заново при добавлении новых возможностей, таких как Pointcast, Real Audio и других.
В Internet Security Systems понимают, что требования к безопасности постоянно меняются, поэтому здесь занимаются исследованием слабых мест в системах защиты серверов и предлагают свою помощь клиентам.
По словам Клауса, определить степень уязвимости системы трудно, однако программные сканеры, создаваемые его компанией, не только помогают найти бреши в системе безопасности и закрыть их, но и позволяют снизить затраты на услуги специалистов по безопасности.
Безопасность электронных транзакций
Еще несколько лет назад люди опасались сообщать номер своей кредитной карты по телефону. Потом общество наконец осознало, что диктовать продавцу эту информацию по телефону ничуть не опаснее, чем расплачиваться с помощью кредитной карты в ресторане. Но на создание общественного мнения ушло много времени и потребовались серьезные усилия со стороны продавцов.
Точно так же обстоят дела с электронными транзакциями. Продавцы должны бережно относиться к информации своих клиентов. И это не просто требование покупателей - это необходимое условие выживания в данном бизнесе.