https://www.cigital.com/podcasts/show-011/;
• интервью Чарлза Бэббиджа из Университета Миннесоты с доктором Дороти Деннинг в 2012 году: http://conservancy.umn.edu/bitstream/handle/11299/156519/oh424ded.pdf.
16. Профиль: Михаил Дубинский
Я уже давно весьма критично отношусь к продуктам для обеспечения информационной безопасности. Это объясняется тем, что за два десятилетия вредоносное ПО и эксплойты стали гораздо проще в использовании, а антивирусные программы зачастую не соответствуют заявленным характеристикам эффективности. Я зарабатываю на жизнь, тестируя такие программы, и нередко получаю на проверку до двадцати новых продуктов в день. Если за год мне попадается хотя бы одно приложение, которое действительно способно делать то, что от него ожидается, и существенно снижает риск взлома, это вызывает у меня настоящий восторг. Зачастую достаточно эффективные приложения не попадаются мне годами. Нередко я критикую и продукты, выпускаемые компанией, в которой работаю сам.
Учитывая это, должен сказать, что я был поражен новым продуктом Microsoft Advanced Threat Analytics (ATA). Он понравился бы мне вне зависимости от того, кто именно его разработал. ATA использует по-настоящему передовые методы анализа событий и сетевого трафика для обнаружения активных угроз, в том числе таких сложно выявляемых атак, как Pass-the-hash (https://en.wikipedia.org/wiki/Pass_the_hash) и Golden Ticket (www.infoworld.com/article/2608877/security/fear-the-golden-ticket-attack-.html). Понаблюдав за работой ATA, я подумал, что с радостью бросил бы то, чем занимаюсь сейчас, и занялся продвижением этой замечательной платформы. Это не преувеличение. Я охотно сменил бы работу, если бы мне представилась такая возможность. Это действительно отличный продукт.
Компания Microsoft приобрела израильский стартап Aorato, разработавший платформу ATA, в ноябре 2014 года. Ежегодно в сфере информационной безопасности создаются тысячи стартапов. Если вам доводилось развивать стартап, вы знаете, что это предполагает длительную напряженную работу в кругу единомышленников. Я знаком со многими людьми, которые «выгорели» в ходе работы над проектом, который так и не стал успешным. Они рисковали всем, соглашаясь на маленькую зарплату и тяжелую работу, в итоге не получая того вознаграждения, на которое рассчитывали. Мой брат-близнец Ричард А. Граймс, развивавший несколько интернет-стартапов, однажды сказал: «Если еще один стартап предложит мне в качестве оплаты долю в будущей прибыли, я скажу, что купить продукты и оплатить счета за электричество ею не получится».
Израильтянину Михаилу Дубинскому повезло. Менее чем через полгода после его прихода в Aorato стартап был приобретен компанией Microsoft. Теперь Дубинский главный менеджер по продукту ATA. Он по-прежнему много работает, но в более комфортных условиях крупной корпорации.
Сложная обстановка, в которой существует Израиль и его жители, привела к тому, что в этой маленькой стране было разработано огромное количество продуктов, предназначенных для обеспечения информационной безопасности. Израильские компании постоянно создают новые и передовые средства компьютерной защиты. Несколько лет назад меня наняли для обучения использованию ханипотов солдат Армии обороны Израиля, в которой должен отслужить каждый израильтянин. Я сам применял ханипоты и обучал этому людей на протяжении всей своей карьеры и даже написал о них книгу. Но когда я начал работать с израильскими военными, оказалось, что они знали об этой технологии не меньше моего и уже использовали ханипоты, которые я собирался им продемонстрировать. Мне оставалось лишь помочь им сделать системы более привлекательными и реалистичными.
Позднее я узнал, что с подобным опытом сталкиваются очень многие иностранцы, приезжающие в Израиль для преподавания основ информационной безопасности. В отличие от жителей большинства других стран, израильтяне с детства вынуждены задумываться о средствах обороны. За неделю, пока я находился в Тель-Авиве, по городу было выпущено несколько ракет. На занятии присутствовало примерно 20 человек, и я спросил, кто из них видел ракету, выпущенную в нашу сторону, которая, скорее всего, приземлилась бы где-то поблизости, если бы не была перехвачена. Почти все присутствующие подняли руки. Жизнь в таких условиях существенно влияет на приоритеты и восприятие действительности. А также способствует созданию выдающихся продуктов для обеспечения информационной безопасности.
Я спросил Дубинского, прожил ли он всю свою жизнь в Израиле, на что он ответил: «Я родился в Латвии, которая находится в Балтийском регионе Северной Европы. После Второй мировой войны она была частью СССР, а в 1990 году провозгласила свою независимость. Примерно тогда же мы с родителями переехали в Израиль и поселились к югу от Тель-Авива».
На мой вопрос о том, как он попал в сферу информационной безопасности, Дубинский сказал: «Я интересуюсь компьютерами с детства. И мне очень помог один мой сосед, который был инженером-программистом. Сначала я просто возился с компьютерами, программировал на языках BASIC и Pascal, а также учился использовать дизассемблеры. Затем я заинтересовался троянами удаленного доступа (RATs), вроде SubSeven (https://en.wikipedia.org/wiki/Sub7), с помощью которых разыгрывал друзей. Используя методы социальной инженерии или фишинга, я побуждал их устанавливать троянские программы, а затем шутил над ними, например, открывая дисководы их компьютеров. Потом я решил украсть чьи-нибудь учетные данные для получения доступа к Интернету. Это были времена dial-up-модемов и дорогого Интернета. Используя те же хакерские навыки, с помощью которых разыгрывал друзей, я украл чужие учетные данные для подключения к Интернету, но меня поймали. Родители очень расстроились и лишили меня компьютера. Позднее, во время прохождения службы в армии Израиля, я занимался компьютерной безопасностью. Больше всего меня интересовала тема аутентификации и способы повышения ее надежности».
Я спросил Дубинского о том, как он попал в Aorato. Такой оказалась его история: «В 2014 году я стал тринадцатым сотрудником этой компании, созданной двумя годами ранее. Я сразу сосредоточился на инженерных проблемах и поиске новых рабочих способов обнаружения вредоносных программ. Моя деятельность велась в двух направлениях. Первым было нахождение новых способов обнаружения вредоносного ПО, а вторым – усовершенствование конечного продукта путем расширения его возможностей. Спустя полгода после моего прихода в компанию Aorato она была приобретена корпорацией Microsoft, которая выразила нам полное доверие и поддержку. Мы по-прежнему работаем с замечательными людьми и создаем продукт, который пользуется большим успехом». Когда я спросил Дубинского о том, что он считает самой большой проблемой в сфере информационной безопасности, он ответил: «Образование. Большинство людей так или иначе на что-то нажимают. Сколько бы технологий вы ни внедрили, кто-нибудь все равно на что-нибудь нажмет. Ключ к предотвращению атак – образование».
Информация о Михаиле Дубинском
Больше информации о Михаиле Дубинском вы найдете по ссылке:
• Михаил Дубинский в Twitter: https://twitter.com/michaeldubinsky.
17. Брандмауэры
Брандмауэры – отличный пример того, как технология становится жертвой собственного успеха. Они так хорошо защищали компьютеры в течение трех десятилетий, что угрозы, против которых были созданы, практически перестали существовать. Плохие парни сдаются! По крайней мере, в области определенных типов угроз. Некоторые эксперты даже утверждали, что брандмауэры больше не нужны, но большинство считают, что они, как и сканеры вредоносного ПО, – необходимые элементы информационной безопасности в любой сфере.
Что такое брандмауэр?
Если вкратце, брандмауэры – это программный или аппаратный компонент, предназначенный для предотвращения несанкционированного доступа между двумя или более границами безопасности. Его работа традиционно основана на имени протокола или номера порта, а на сетевом уровне обычно происходит фильтрация пакетов. Многие брандмауэры также могут разрешать или запрещать трафик на основе имен пользователей, устройств, членства в группах и сведений, содержащихся на верхних уровнях трафика приложений. Они часто предлагают дополнительные расширенные функции, такие как анализ пакетов высокого уровня, обнаружение/предотвращение вторжений, обнаружение вредоносных программ и VPN. Большинство брандмауэров поставляются с подробными лог-файлами. После запуска любого брандмауэра его журнал тут же заполняется записями.
Происхождение брандмауэров
Начало тому, что эксперты по безопасности позже определят как ранний брандмауэр на уровне приложений, было положено в 1987 году администраторами компании AT&T Bell Labs Дейвом Пресотто и Говардом Трики на компьютере VAX под управлением BSD с двумя сетевыми интерфейсами для защиты внутренних пользователей и их компьютеров. ПО позволяло получать доступ к Интернету, но не допускало несанкционированных входящих подключений. Они применяли собственный шлюз сеансового уровня, который появился на семь лет раньше, чем в протоколе SOCKS-прокси. Уильям Чесвик в начале 1988 года использовал такой же шлюз.
Примечание. Слово «брандмауэр» использовалось в фильме «Хакеры» 1983 года, но его значение не было четко определено.
Первое упоминание о брандмауэрах в технической документации содержится в презентации 1987 года под названием The Packet Filter: An Efficient Mechanism for User-level Network Code Джеффри К. Могула (он был сотрудником компании ACM и теперь работает в Google (https://research.google.com/pubs/JeffreyMogul.html), Ричарда Ф. Рашида и Майкла Дж. Аксетты, на симпозиуме ACM, посвященном принципам операционных систем.
Защищенная брандмауэром сеть Чесвика подверглась атаке печально известного Червя Морриса в ноябре 1988 года (https://en.wikipedia.org/wiki/Morris_worm). Благодаря изменению настроек и удачному стечению обстоятельств брандмауэр и компьютеры, находящиеся под его защитой, не пострадали, в то время как сотни других сетей и тысячи компьютеров были заражены. Это был один из первых случаев, когда брандмауэр доказал важность своей роли в общих аспектах ИБ. Чесвика беспокоило удачное стечение обстоятельств, он обновил исходную конфигурацию брандмауэра, добавив еще одну границу безопасности между внутренним и внешним интерфейсом. В конце концов он назвал это «прокси», и именно тогда в первый раз это слово было использовано в таком контексте.
Чесвик описал брандмауэры в 1990-м в трудах USENIX, а в 1994 году вместе со Стивеном Белловиным написал оригинальную книгу Firewalls and Internet Security: Repelling the Wily Hacker. Чесвик вспоминает удивительную популярность книги: «Брандмауэр Checkpoint Firewall Zone 1, который позже был переименован в Checkpoint Firewall, впервые появился весной 1994 года, на конференции Interop, то есть примерно через неделю после публикации книги. Издатель ожидал, что тираж составит 8–12 тысяч копий. Первая партия в 10 000 была продана за неделю, и они так быстро выпустили второй тираж в 20 000, что мы не успели исправить недоработки. Всего было продано около 100 000 копий, переведенных на десяток языков».
Брайан Рид и другие сотрудники компании Digital Equipment Corporation (DEC) выполняли аналогичную работу над брандмауэрами, взаимодействуя через Интернет с помощью корпоративной сети. Тем не менее их брандмауэр был больше сосредоточен на блокировке исходящего доступа, так как DEC ранее потерял важное программное обеспечение из-за несанкционированной эксфильтрации данных.
Маркус Ранум написал первый крупный коммерческий продукт брандмауэра для DEC в 1990 году и другую его версию под названием Screening External Access Link (SEAL) вместе с Джеффом Маллиганом в 1991 году. В то же время Джеффри Могул выпустил screend, один из первых брандмауэров (https://www.researchgate.net/publication/2443301_Using_screend_to_Implement_IPTCP_Security_Policies). Затем последовали другие коммерческие брандмауэры от разных поставщиков, включая Tis Gauntlet, Checkpoint и Dupont’S Raptor Eagle. Ранум создал инструментарий брандмауэра с открытым исходным кодом в 1993 году в рамках проекта для Управления перспективными исследовательскими проектами Министерства обороны США (спонсора ранней версии Интернета) и Белого дома США.
Кульминацией всех этих действий стали брандмауэры, которые стали важным компонентом любой популярной операционной системы. Компания Microsoft Windows создала брандмауэр Windows, впервые выпущенный в Windows XP в 2001 году. Второй пакет обновлений вышел в августе 2004 года и был включен по умолчанию. Это изменение непосредственно связано с огромным снижением опасности вредоносных программ на базе Windows, которые в противном случае могли бы быть успешными. Сегодня многие устройства, включая интернет-маршрутизатор, беспроводной маршрутизатор и кабельное/спутниковое телевидение, содержат настраиваемые пользователем брандмауэры.
Правила брандмауэра
Все брандмауэры имеют правила (или политики). Наиболее распространенное правило брандмауэра по умолчанию следующее: разрешать все выходы, но запрещать любые неопределенные входящие подключения, которые ранее не были созданы исходящим подключением. Самые безопасные брандмауэры также ограничивают любой ранее неопределенный исходящий трафик. К сожалению, когда применяются чрезмерно строгие правила, это часто приводит к слишком серьезному прерыванию работы или управления, и поэтому большинство разработчиков используют наиболее распространенное правило по умолчанию.
Размещение брандмауэров
Брандмауэры можно размещать на уровне сети или непосредственно на узлах компьютеров.
На уровне сети
Традиционно большинство брандмауэров расположены как сетевые устройства между двумя или более сегментами сети. Изменилось только то, что количество управляемых сегментов увеличилось до такой степени, что некоторые брандмауэры могут управлять десятками сегментов одновременно. Современные новые программно-определяемые сети (SDN) содержат некоторые компоненты пересылки пакетов, которые могут напрямую отследить их происхождение до традиционных брандмауэров.
На узлах компьютеров
Многие люди считают, что даже защищенной брандмауэром сети нельзя доверять. Чесвик сказал, что внутри периметра сетевого брандмауэра находится «мягкий центр». Он также говорил, что мы должны убедиться, что все наши хосты (узлы) надежно настроены и защищены, чтобы уберечь себя от вещей, которые проходят через периметр сетевого брандмауэра.
Брандмауэры в узлах могут с этим помочь. Обычно они работают на уровне сети и пакетов, но часто имеют дополнительные возможности, поскольку интегрированы с хостом и его операционной системой. Например, брандмауэр Windows можно легко настроить как для отдельных служб, так и для пользователей и групп. Windows поставляется со встроенными почти ста правилами брандмауэра, которые включены операционной системой, даже если вы отключите управляемое пользователем программное приложение.
Многие специалисты по ИБ полагают, что каждый хост должен быть в состоянии только связаться с другими четко определенными хостами, следуя, по существу, очень безопасным, строгим правилам брандмауэра, которые определяют точно, какой трафик существует между хостами. Этот вид ультрагранулированного управления считается святым Граалем брандмауэров. К сожалению, сложность и управление такими межсетевыми экранами делает маловероятным их широкое масштабирование, выходящее за рамки некоторых небольших сверхбезопасных сценариев.
Повышенная безопасность
Расширенные брандмауэры существуют уже несколько десятилетий и обычно ссылаются на функции, которые традиционный брандмауэр для фильтрации пакетов не предлагает. Традиционный брандмауэр может блокировать по протоколу (по имени или номеру), но расширенный блокирует почти любой подробный индивидуальный компонент протокола (иногда называемый «глубокой проверкой пакетов»). Или может объединить несколько пакетов для идентификации определенных атак. Традиционный брандмауэр отбрасывает определенное количество пакетов, но только продвинутый вариант покажет, что вы находитесь под атакой отказа в обслуживании. Брандмауэры-приложения могут просматривать прикладные уровни сети и обнаруживать угрозу или предотвращать ее попадание на хост. Например, расширенный брандмауэр может удалить последовательность переполнения буфера из веб-сервера. Они настолько распространены, что большинство брандмауэров до некоторой степени расширены.
От чего защищают брандмауэры
Брандмауэры предотвращают вредоносные атаки, происходящие из несанкционированного сетевого трафика. Традиционно удаленные атаки переполнения буфера на уязвимые серверы были угрозой номер один, с которой брандмауэры справлялись. Но со временем серверы стали более надежными (в основном благодаря тому, что их базовые операционные системы стали более безопасными по умолчанию), а брандмауэры усложнили злоумышленникам успешное использование этих типов атак. Соответственно, немногие современные атаки будут предотвращены брандмауэром из-за их реализации. Например, если конечного пользователя можно обманом заставить запустить троянскую программу, приходящую по электронной почте, брандмауэр мало что может сделать, чтобы предотвратить последующую злонамеренность. Тем не менее, поскольку брандмауэры легкодоступны (часто бесплатны и реализуются по умолчанию) и могут остановить определенные типы атак, большинство людей считают, что они должны быть активированы на каждой сети и вычислительном устройстве. Вы можете выбрать, активировать его или нет. В любом случае, этот выбор, по существу, указывает на большой успех брандмауэров.
В главе 18 представлен профиль одного из первых создателей брандмауэров, Уильяма Чесвика.