Тема защиты информации с каждым днем становится все более актуальной. Позвольте попробовать нагнать на вас еще немножко страху — если не напугаем, так хотя бы предупредим. Итак, какое же зло таится в Сети дома и на работе?
Домашняя сеть
Наверняка многие из вас помнят тот знаменательный день, когда в доме появился компьютер. Но радость от общения с новым другом, увы, постепенно начинает угасать. Вам кажется, что играть одному уже скучно, интеллект компьютера заметно уступает вашему, да тут еще и сосед со второго этажа оживленно рассказывает чуть ли не ежедневно, как он всю ночь напролет бродил по Сети и играл в Quake с американцами... И вот после недолгих размышлений и дебатов с самим собой на ум приходит простое решение: «Будем тянуть сеть!» Довольно быстро вы обнаруживаете, что у вас (в соседней квартире, подъезде, на другом этаже) есть много единомышленников. Однако как протянуть сеть? Какие сетевые платы выбрать? И наконец, самая главная проблема: как защититься от этих вездесущих хакеров, которые так и норовят взломать компьютер и украсть из него никому не нужные, кроме вас, данные?
Предположим, первые две проблемы (а их на самом деле гораздо больше) вы решили. Достигнув желаемого, многие совершенно не задумываются о том, что необходимо обеспечить безопасность созданной сети и собственного компьютера. Так чего же действительно стоит опасаться, а какие страхи являются совершенно беспочвенными?
Давайте с этим разберемся. Значит, у вас есть простая (без выхода в Интернет) сеть. Вероятнее всего, что в качестве основной операционной системы вы задействуете Windows 95/98/Me, хотя в последнее время все большее распространение на домашних компьютерах получает и Windows 2000. Чтобы было понятно, откуда берутся те или иные проблемы с безопасностью, рассмотрим основные варианты использования сети.
Допустим, вы только играете в различные сетевые игры, такие как Quake, Diablo II и т. д. Этот вариант абсолютно безопасный. Имевшаяся в свое время ошибка в одной из версий сервера Quake была относительно быстро устранена и, насколько нам известно, не причинила никому ущерба. В худшем случае ваш компьютер может просто «зависнуть» во время игры.
Естественно, что использование с таким трудом созданной сети исключительно для игр просто нерационально и рано или поздно вам захочется обмениваться файлами с другими абонентами, слушать музыку, смотреть фильмы... Тут-то и подстерегает вас первая опасность. Операционные системы семейства Windows (кроме NT и 2000) позволяют отдавать папку в общий ресурс (sharing) либо для чтения, либо для полного доступа. И любой человек, знающий, например, пароль для чтения, может читать ваши файлы. Точно так же любой человек, знающий пароль для полного доступа, может удалять, добавлять и изменять соответствующие файлы. Причем средствами самой ОС отследить это невозможно. Попробуем, исходя из сказанного, сформулировать некоторые рекомендации по размещению папок общего доступа:
- по возможности размещайте такие папки на диске, где у вас не располагается ОС и не хранится важная информация. Вероятность того, что кто-то сможет «вылезти» за пределы доступной по сети папки мала, хотя и существует (с помощью определенного имени файла). Вариант же попадания на другой диск практически исключается;
- отделите папки «для записи» от папок «только для чтения». Учтите, что права доступа распространяются на все лежащие в общем ресурсе папки и файлы. Иными словами, если вы в папку «для записи» положите еще одну папку и отдадите ее только для чтения, то все имеющие возможность записи в вышележащую папку, смогут записывать и в ресурс «только для чтения»;
- если вы хотите, чтобы одни пользователи лишь читали файлы, а другие могли записывать и удалять их, раздайте соответствующим категориям пароли для записи/чтения, но помните: то, что знают двое, знают все.
При работе с Windows NT или Windows 2000 ваши возможности по контролю за доступом к информации значительно расширяются. Средствами самой ОС можно ограничивать доступ к определенному ресурсу как по паролю, так и по имени пользователя. Причем если вы применяете файловую систему NTFS, то можете не только разрешить читать файлы в папке, но и указать, кому именно и какие файлы читать. Становится шире и набор выбираемых функций по управлению доступом (например, только записи в папку, но не удаления из нее). Правда, при этом следует учесть, что для реализации разграничения доступа по конкретному пользователю необходимо либо иметь контроллер домена, либо создать на своей машине перечень всех пользователей, которые будут к вам подключаться, и сообщить им пароли. Для тотального контроля можно вести и журнал аудита, чтобы знать «кто, где, когда и с кем».
Казалось бы, все проблемы решены, и друзья начинают «заливать» вам свежие версии проигрывателей, новые альбомы известных исполнителей, да и просто полезные программы или игры. Однако ваши радужные надежды оправдаются только в том случае, если вы... не станете запускать подобные программы. «Но ведь это невозможно!» — воскликнете вы и будете совершенно правы. Тогда перед вами во весь рост встанет вопрос защиты от компьютерных вирусов. Раньше, когда у вас не было сети, худшее, что мог сделать вирус, это уничтожить все данные на жестком диске (мифы про вирусы, выжигающие мониторы и ломающие дисководы, не в счет). Теперь же существуют «троянские кони» с поддержкой сети, которые могут по специальной команде с удаленного компьютера выполнять различные действия.
Представьте себе такую картину: вы набираете ценный документ, и в самый ответственный момент привод компакт-дисков на вашей машине начинает открываться/закрываться, на экране появляются сообщения типа «Привет ламерам от хакеров!» — и вдобавок ко всему ваш Word с несохраненным документом внезапно закрывается, после чего компьютер сам выключается. Фантастика, скажете вы? Вовсе нет — это лишь малая толика возможностей популярного пакета «удаленного администрирования» Back Orifice.
Возникает резонный вопрос: откуда он взялся на вашей машине? Технология распространения таких программ схожа с засылкой вирусов. Они могут быть либо прикреплены к какой-либо популярной программе или утилите, либо замаскированы под нее. Помните, вы запустили вчера программу, которая ничего не сделав, удалила сама себя? Вот это она и есть. Решение по защите также крайне просто: не следует запускать никакие подозрительные файлы на своей машине, даже если ваши «друзья» во всех красках расписывают достоинства «новой смотрелки картинок». Кроме того, нужно обязательно поставить на машину антивирусную программу-монитор или каждый день запускать антивирусный сканер. Необходимо, чтобы такой антивирус имел возможность регулярного (лучше ежедневного) обновления, например с помощью AVP (www.avp.ru).
К сожалению, одной из неприятных особенностей всех без исключения операционных систем (будь то Linux, Windows или Mac OS) является наличие в них ошибок. Причем чем большее распространение получила система, тем выше вероятность того, что кто-нибудь завтра найдет в ней новую «дыру». Последствия же от обнаружения такой «дыры» в ОС могут быть самыми различными. В каком-то случае возникает лишь гипотетическая угроза безопасности, в другом — реальная (часто обновляемый список «заплаток» можно найти на www.hackzone.ru). Поэтому рекомендуется регулярно посещать сайт производителя вашей ОС или использовать специальные программы обновления (например, Windows Update). Если такие «дыры» оставить незакрытыми, вам может быть нанесен заметный ущерб.
Важно отметить, что в большинстве домашних сетей можно читать всю информацию, пересылаемую внутри сети и отправляемую за ее пределы. И для этого не требуется дорогостоящее оборудование — достаточно просто переписать небольшую программу (sniffer), и далее вы сможете просматривать все, что передается по сети. Естественно, для интерпретации подобной информации нужны некоторые знания, но отловить пароль соседа на его почтовый ящик в Интернете не составит для вас труда. Существуют также программы, перехватывающие пароли на сетевые ресурсы и пытающиеся их расшифровать, поэтому чем сложнее и длиннее окажется такой пароль (если только вы не берете слово из словаря), тем труднее будет его подобрать. При возможности следует запретить во всех программах использование паролей plain text, т. е. «открытый текст», иначе вы рискуете в один прекрасный момент обнаружить, что кто-то читает вашу почту.
Отдельно хотелось бы рассмотреть вариант локальной сети с выходом в Интернет. В 99% случаев лишь один компьютер в этой сети физически подключен к Интернету, а все остальные задействуют для доступа специальную программу (proxy), позволяющую «переводить» внутренние адреса сети в адрес, выделенный вам провайдером. Причем если речь идет о выделенном канале, оплата за доступ является не повременной, а зависит от количества информации, переданной/полученной вами из Интернета. Поэтому уже на этапе выбора proxy надо учитывать, что кто-то из «коллег по сети» может попробовать воспользоваться доступом от вашего имени (и конечно, за ваши деньги). Как и в ситуации с ОС, нужно регулярно проверять журналы proxy (желательно, чтобы имелась поддержка такой возможности) на предмет выявления «взломщиков», пытавшихся выйти в Интернет от имени другого пользователя.
Работа в Сети немыслима без электронной почты, вместе с которой гораздо чаще можно получить вирус или «троянского коня». Поэтому следует с максимальной осторожностью относиться к предложениям «запустить прилагаемую программу». И разумеется, желательно поставить у себя антивирусный монитор.
В заключение разговора о домашних сетях необходимо упомянуть еще об одной проблеме, а именно о так называемых DDoS-атаках (Distributed Denial of Service — отказ в обслуживании путем распределенного воздействия), при которых компьютер (например, сайт в Интернете) становится временно неработоспособным. Достигается это путем внедрения в тысячи компьютеров Сети того самого «троянского коня», который может не подавать признаков жизни достаточно долгое время и затем мгновенно проснуться по специальной команде. Новейшие версии таких программ могут даже не обнаруживаться антивирусами, и единственным способом защиты является все то же осторожное отношение к приходящим по почте и копируемым из непроверенных источников файлам. В качестве профилактических мер можно установить персональный межсетевой экран (брандмауэр), например ATGuard. Этот экран позволяет контролировать все исходящие и входящие подключения вашего компьютера, но для его первоначальной настройки требуются некоторые знания.
В общем, «спасение утопающих — дело рук самих утопающих». Чем беспечнее вы будете относиться к собственной безопасности, тем больше у вас шансов в конце концов оказаться у «разбитого корыта».
Корпоративная сеть
В офисе все куда серьезнее. Организации переходят с бумажного документооборота на электронный, и поэтому в локальных офисных сетях гуляют такие корпоративные секреты, что можно только позавидовать радости того хакера, который заглянул в чужую сеть по просьбе конкурента.
Итак, вот наиболее типичные проблемы, с которыми вы можете столкнуться:
- ознакомление с конфиденциальной информацией (обычно это называется «хищением», хотя физически никто ничего не похищает — информация остается на месте, но она уже известна тем, кому не следовало бы ее знать);
- подмена информации: незаметно подменить копию электронного документа гораздо легче, чем бумажку с подписью и печатью. Это можно сделать, находясь на значительном удалении от места хранения документа;
- разрушительные действия: начиная от банального форматирования жесткого диска в самый неподходящий момент до DoS (Denial of Service — отказ в обслуживании) и DDoS-атак. Такие атаки требуют от атакующего гораздо более высокой квалификации, но после них ни один из ваших клиентов или партнеров не сможет с вами связаться — ваша сеть просто будет отрезана от внешнего мира;
- любая комбинация первых трех проблем как результат воздействия программ типа Back Orifice, «троянских коней» и компьютерных вирусов вообще. Информация может случайно либо по отданной извне команде пропадать, портиться или пересылаться по почте вашему смертельному врагу.
Не стоит думать, что для реализации всех этих угроз нужно быть семи пядей во лбу — на хакерских сайтах или на Митинском рынке нетрудно найти составленные умными хакерами программки, с помощью которых выполнить описанные выше деструктивные действия может любой, даже не очень подготовленный пользователь.
Как же быть? Ну, к примеру, так. Можно выделить сотрудника (или целый отдел сотрудников — в зависимости от того, сколько у вас сетей, компьютеров, ценной информации и т. д.), отвечающего за безопасность всех ваших объектов защиты (тех же сетей, компьютеров, информации, которая хранится, обрабатывается, передается...). Он должен обладать достаточной квалификацией как в компьютерном деле, так и в вопросах защиты информации. Этот сотрудник, которого мы назовем администратором по безопасности, обязан проработать и реализовать комплекс мер защиты, т. е. определить политику информационной безопасности (прежде всего, конечно, необходимо уточнить, что же нужно защищать в вашей организации).
Далее следует оценить стоимость объектов защиты. Это сделать довольно сложно, поскольку речь идет только об информации, не имеющей физического воплощения (в отличие, например, от сброшенного в порыве ярости со стола монитора :) ). Но все имеет свою цену, и стоимость информации мы определили бы как стоимость ее восстановления при уничтожении или порче и как объем возможных финансовых потерь — при хищении. Особую категорию составляют платежные документы, которые необходимо максимально защищать от подделки. Кстати, в середине 1990-х годов было несколько серьезных случаев мошенничества с поддельными электронными платежными документами (когда они уже «пошли» по сетям, а защита еще была слаба).
Затем для каждого объекта нужно выбрать метод защиты и подсчитать, во сколько она обойдется.
После этого наступает стадия принятия решений: что дешевле — оставить все как есть или закупить и установить средства защиты.
И наконец, осуществляется реализация проекта: идет закупка средств защиты, их установка, настройка, обучение персонала и т. д.
Но, к сожалению, надо признать, что процесс защиты ваших сетей никогда не кончится: нельзя говорить о том, что установка средств защиты избавит вас от неприятностей на долгие годы, — это было бы неправдой. Обнаруживаются все новые ошибки, причем как в операционных системах и сетевых программах, так и (что греха таить!) в самих средствах защиты; а хакеры и «вирусописатели» преуспевают в своих стараниях навредить. Так что введенную однажды систему защиты придется регулярно наращивать и совершенствовать. Администратор по безопасности должен постоянно отслеживать сообщения о новых вирусах и «дырах» в защите, чтобы моментально устанавливать появляющиеся вслед за такими сообщениями обновления баз данных антивирусных программ и «заплаты» для операционных систем. Ему всегда нужно думать о том, закрыл ли он свое хозяйство на все возможные замки, не изобрели ли новый способ эти замки ломать, не подобрали ли к ним ключи и т. д.
Непродуманность политики информационной безопасности может привести к серьезным потерям в бизнесе. Как правило, руководители (особенно «наши») по-настоящему задумываются над этим вопросом только тогда, когда «гром уже грянул». Администраторам по безопасности (кстати, во многих организациях такая должность вообще отсутствует) часто бывает очень тяжело склонить руководство к финансированию работ по обеспечению даже минимального уровня защиты данных, имеющих важное значение для бизнеса.
Позаботьтесь о надежных тылах. По различным данным, от 70 до 90% зарегистрированных попыток несанкционированного доступа к конфиденциальной информации осуществляются вашими собственными коллегами. Очень много проблем создают и уволившиеся (или уволенные) сотрудники. В связи с этим мы хотим дать вам еще несколько рекомендаций:
- построив классическую защиту «по периметру» от врага внешнего, не забудьте разграничить доступ к информации среди своих сотрудников. Кстати, не стесняйтесь прибегать и к древним испытанным средствам защиты — поставьте строгого вахтера около серверной комнаты;
- никогда не оставляйте возможности доступа в систему извне для бывшего сотрудника — особенно, если есть причины подозревать его в нелояльности. Проведите полную смену всех паролей и тщательный анализ компьютеров на наличие каких-либо «закладок» в случае увольнения сетевого администратора или администратора по безопасности (да и любого другого работника, обладавшего приоритетными правами в системе);
- не стоит и перегибать палку: тотальный контроль и избыточные меры защиты могут негативно сказаться на психологическом климате в коллективе. Все должно быть в разумных пределах;
- и наконец, постарайтесь убедить своих сотрудников в том, что информация тоже имеет ценность. Обучите их основам безопасности при работе с данными, иначе человеческий фактор может перечеркнуть все ваши усилия по построению и внедрению дорогостоящей системы защиты.