Проблемы, связанные с безопасностью

Как было установлено ранее, Интернет страдает от серьезных проблем с безопасностью. Организации, которые игнорируют эти проблемы, подвергают себя значительному риску того, что они будут атакованы злоумышленниками, и что они могут стать стартовой площадкой при атаках на другие сети. Даже те организации, которые заботятся о безопасности, имеют те же самые проблемы из-за появления новых уязвимых мест в сетевом программном обеспечении(ПО) и отсутствия мер защиты от некоторых злоумышленников.

Некоторые из проблем безопасности в Интернете - результат наличия уязвимых мест из-за ошибок при проектировании в службах(и в протоколах, их реализующих), в то время как другие - результат ошибок при конфигурировании хоста или средств управления доступом, которые или плохо установлены или настолько сложны, что с трудом поддаются администрированию. Кроме того: роль и важность администрирования системы часто упускается при описании должностных обязанностей сотрудников, что при приводит к тому, что большинство администраторов в лучшем случае нанимаются на неполный рабочий день и плохо подготовлены. Это усугубляется быстрым ростом Интернета и характера использования Интернета; государственные и коммерческие организации теперь зависят от Интернета(иногда даже больше: чем они думают) при взаимодействии с другими организациями и исследованиях и поэтому понесут большие потери при атаках на их хосты. Следующие главы описывают проблемы в Интернете и причины, приводящие к их возникновению.

Инциденты с безопасностью в Интернете

В доказательство того, что описанные выше угрозы реальны, три группы инцидентов имели место в течение нескольких месяцев друг после друга. Сначала, началось широкое обсуждение обнаруженных уязвимых мест в программе UNIX sendmail(это транспортная почтовая программа на большинстве хостов с Unix. Это очень большая и сложная программа, и в ней уже несколько раз были найдены уязвимые места, которые позволяют злоумышленнику получить доступ в системы, в которых запущена sendmail). Организациям, которые не имели исправленных версий программы, пришлось срочно исправлять эти ошибки в своих программах sendmail до того, как злоумышленники используют эти уязвимые места для атаки на их сети. Тем не менее, из-за сложности программы sendmail и сетевого ПО в целом три последующие версии sendmail также содержали ряд уязвимых мест[CIAC94a]. Программа sendmail широко использовалась, поэтому организациям без брандмауэров, для того чтобы ограничить доступ к этой программе, пришлось быстро регировать на возникавшие проблемы и обнаруживаемые уязвимые места.

Во-вторых, обнаружилось, что популярная версия свободно распространяемого FTP-сервера содержала троянского коня, позволявшего получить привилегированный доступ к серверу. Организациям, использовавшим этот FTP-сервер, не обязательно зараженную версию, также пришлось быстро реагировать на эту ситуацию[CIAC94c]. Многие организации полагаются на хорошее качество свободного ПО, доступного в Интернете, особенно на ПО в области безопасности с дополнительными возможностями по протоколированию, управлению доступом и проверке целостности, которое не входит в состав ОС, поставляемой ее производителем. Хотя это ПО часто очень высокого качества, организации могут оказаться в тяжелом положении, если в ПО будут найдены уязвимые места или с ним возникнут другие проблемы, и должны будут полагаться только на его авторов.(Справедливости ради, стоит отметить, что даже ПО, сделанное производителем ОС, может страдать от таких же проблем и его исправление может оказаться более продолжительным).

Третья проблема имела самые серьезные последствия: [CERT94] и [CIAC94b] сообщили, что злоумышленники проникли в тысячи систем во всем Интернете, включая шлюзы между большими сетями и установили анализаторы пакетов для перехвата в сетевом траффике имен пользователей и статических паролей, вводимых пользователями для подключения к сетевым системам. Злоумышленники также использовали другие известные технологии для проникновения в системы, а также перехваченные ими пароли. Одним из выводов, которые можно поэтому сделать является то, что статические или повторно используемые пароли не должны использоваться для управления доступом. Фактически, пользователь, подключающийся к сетевой системе через Интернет, может неумышленно подвергнуть эту систему риску быть атакованной злоумышленниками, которые могли перехватить сетевой траффик, идущий к этой удаленной системе.

Следующие разделы более детально описывают проблемы с безопасностью в Интернете. [Garf92], [Cur92],[ Bel89], [Ches94] и [Farm93] являются книгами, где вы найдете более детальную информацию.

Слабая аутентификация

Группы улаживания инцидентов считают, что большинство инцидентов произошло из-за использования слабых, статических паролей. Пароли в Интернете могут быть "взломаны" рядом способов, но двумя самыми распространенными являются взлом зашифрованной формы пароля и наблюдение за каналами передачи данных с целью перехвата пакетов с паролями. ОС Unix обычно хранит пароли в зашифрованной форме в файле, который может быть прочитан любым пользователем. Этот файл паролей может быть получен простым копированием его или одним из других способов, используемых злоумышленниками. Как только файл получен, злоумышленник может запустить легко-доступные программы взлома паролей для этого файла. Если пароли слабые, то есть меьше, чем 8 символов, являются словами, и т.д., то они могут быть взломаны и использованы для получения доступа к системе.

Друная проблема с аутентификацией возникает из-за того, что некоторые службы TCP и UDP могут аутентифицировать только отдельный хост, но не пользователя. Например, сервер NFS(UDP) не может дать доступ отдельному пользователю на хосте, он может дать его всему хосту. Администратор сервера может доверять отдельному пользователю на хосте и дать ему доступ, но администратор не может запретить доступ других пользователей на этом хосте и поэтому автоматически должен предоставить его всем пользователям или не давать его вообще.