Основные угрозы целостности

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги. По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организаци­ям был нанесен общий ущерб в размере 882 миллионов долларов. Можно предположить, что реальный ущерб был намного больше, поскольку мно­гие организации по понятным причинам скрывают такие инциденты; не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве случаев виновниками оказывались штатные сотруд­ники организаций, отлично знакомые с режимом работы и мерами защи­ты. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.

Ранее мы проводили различие между статической и динамической целостностью. С целью нарушения статической целостности злоумыш­ленник (как правило, штатный сотрудник) может:

• ввести неверные данные;

• изменить данные.

Иногда изменяются содержательные данные, иногда — служеб­ная информация. Показательный случай нарушения целостности имел место в 1996 году. Служащая Oracle (личный секретарь вице-пре­зидента) предъявила судебный иск, обвиняя президента корпорации в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное пись­мо, якобы отправленное ее начальником президенту. Содержание письма для нас сейчас не важно; важно время отправки. Дело в том, что вице-президент предъявил, в свою очередь, файл с регистрацион­ной информацией компании сотовой связи, из которого явствовало, что в указанное время он разговаривал по мобильному телефону, на­ходясь вдалеке от своего рабочего места. Таким образом, в суде состо­ялось противостояние «файл против файла». Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его цело­стность. Суд решил, что подделали электронное письмо (секретарша знала пароль вице-президента, поскольку ей было поручено его ме­нять), и иск был отвергнут...

(Теоретически возможно, что оба фигурировавших на суде файла были подлинными, корректными с точки зрения целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.)

Из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепого доверия компьютер­ной информации. Заголовки электронного письма могут быть поддела­ны; письмо в целом может быть фальсифицировано лицом, знающим па­роль отправителя (мы приводили соответствующие примеры). Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие раз­ных аспектов информационной безопасности: если нарушена конфиден­циальность, может пострадать целостность.

Еще один урок: угрозой целостности является не только фальсифи­кация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить «неотказуемость», компьютерные данные не мо­гут рассматриваться в качестве доказательства.

Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение рассмотренного выше вредо­носного ПО — пример подобного нарушения.

Угрозами динамической целостности являются нарушение ато­марности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Со­ответствующие действия в сетевой среде называются активным прослу­шиванием.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности мо­гут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для до­ступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут хранить­ся не только в голове, но и в записной книжке или на листках бумаги, ко­торые пользователь часто оставляет на рабочем столе, а то и попросту те­ряет. И дело здесь не в неорганизованности людей, а в изначальной не­пригодности парольной схемы. Невозможно помнить много разных па­ролей; рекомендации по их регулярной (по возможности — частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоми­наемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимых мест можно назвать размещением кон­фиденциальных данных в среде, где им не обеспечена (зачастую - и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват дан­ных. Для атаки могут использоваться разные технические средства (под­слушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна - осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех измене­ниях. Весьма опасной угрозой являются... выставки, на которые многие ор­ганизации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки — это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, — хранение данных на резервных носителях. Для защиты данных на основных носи­телях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.

Перехват данных — очень серьезная угроза, и если конфиденциаль­ность действительно является критичной, а данные передаются по мно­гим каналам, их защита может оказаться весьма сложной и дорогостоя­щей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, мо­жет кто угодно, так что эту угрозу нужно принимать во внимание по от­ношению не только к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных но­сителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто те­ряют.

Опасной нетехнической угрозой конфиденциальности являются ме­тоды морально-психологического воздействия, такие как маскарад — вы­полнение действий под видом лица, обладающего полномочиями для до­ступа к данным (см., например, статью Айрэ Винклера «Задание: шпио­наж» в Jet Info, 1996, 19).

К неприятным угрозам, от которых трудно защищаться, можно от­нести злоупотребление полномочиями. На многих типах систем привиле­гированный пользователь (например системный администратор) спосо­бен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сер­висном обслуживании. Обычно сервисный инженер получает неограни­ченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Таковы основные угрозы, которые наносят наибольший ущерб субъ­ектам информационных отношений.