(https://www.amazon.com/Honeypots-Windows-Books-Professionals/dp/1590593359).
Спицнер заставил людей по-другому взглянуть на ханипоты, способствуя тем самым развитию киберразведки. Его основной интерес состоял в том, чтобы узнать, как и почему хакеры компрометировали организации; он называл это «Знай своего врага». Он также создал определения для описания различных стилей и классов ханипотов и помог выяснить, что в них работало, а что нет, фактически вывернув их наизнанку.
Также Спицнер – хороший пример того, как человек, не будучи компьютерным специалистом, смог сделать хорошую карьеру в области ИБ. В колледже Лэнс изучал историю. Затем он присоединился к Корпусу подготовки офицеров запаса, чтобы заплатить за свое обучение, и после окончания стал танкистом в армии, где прослужил четыре года.
Спицнер глубоко убежден, что для создания карьеры в области ИБ не обязательно быть компьютерным специалистом. Он сказал: «Вам не обязательно с самого начала изучать компьютеры, чтобы построить успешную карьеру в ИБ. 20–30 лет назад было легче, потому что не было стандартного карьерного пути, как сейчас. Теперь я обеспокоен тем, что поле информационной безопасности переполнено завышенными требованиями. Нам нужно больше специалистов с «гибкими навыками», а не только людей, которые понимают биты и байты. Многие из самых больших проблем безопасности нельзя решить исключительно техническим способом».
Должен быть кто-то и из танкистов в информационной безопасности, потому что я знаю многих из них, кто отлично справляется со своей работой. Я спросил об этом Спицнера. «В армии вас постоянно учат узнавать своего врага. Я учился не только управлению танком, но и действию танков противника, и тому, как они будут атаковать нашу технику. Я был удивлен, что в мире ИБ люди так мало знали о своих врагах. Тогда, в конце 90-х, никто не заботился об информационной безопасности».
Я попросил его рассказать, как он попал в сферу ИБ. Лэнс ответил: «Когда я учился на программе МВА в аспирантуре после армии, меня буквально засосало в этот мир. Я начал стажироваться в консалтинговой компании Unix. Нам прислали несколько брандмауэров, и, так как я был новичком, их свалили на меня. Мне понравилось. Я узнал о брандмауэрах, изучил их и научился останавливать злоумышленников. Было здорово. После этого я четыре года работал в отделе безопасности Sun Microsystems, защищая клиентов по всему миру».
Я спросил его, как он перешел с брандмауэров на ханипоты. Лэнс ответил: «Я прочитал три труда о ханипотах. Во-первых, статью доктора Фреда Коэна, который считается отцом защиты от компьютерных вирусов (https://en.wikipedia.org/wiki/Fred_Cohen). Во-вторых, книгу The Cuckoo’s Egg Клиффорда Столла. И в-третьих, доклад Билла Чесвика [An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied(http://www.cheswick.com/ches/papers/berferd.pdf)]. Билл Чесвик [речь о котором шла в главе 18] был одним из первых компьютерных ученых, специализировавшихся на брандмауэрах, и также одним из первых стал использовать ханипоты. Клиффорд Столл начал опыты с ханипотами в 1986 году. Билл Чесвик – в 1991-м. Долгое время эти два источника были всем, что большинство из нас знало о ханипотах.
Долгое время не было качественных ханипотов. Я не владел достаточно хорошими навыками программирования, поэтому не мог их создавать. Тогда я решил использовать их на реальных компьютерах. Я просто поставил брандмауэр, в котором хорошо разбирался, перед реальными системами. А все остальное взял из уроков, которые извлек из этого опыта».
Самая продуктивная работа Спицнера над ханипотами проводилась, когда он работал полный день над проектом Honeynet (2004–2009 гг.) (http://www.honeynet.org). Проект спонсировался Национальным разведывательным советом США (https://www.dni.gov/index.php/about/organization/national-intelligence-council-who-we-are) и был создан в 1979 году в качестве центра стратегического анализа. Он сформировал команду из лучших умов академических кругов, правительства и частных хакеров. Совет уже давно предоставляет экспертные услуги и сотрудничает по вопросам разведки, а также возглавляет ряд важных проектов.
Все, кто интересовался ханипотами, знают, что большинство самой последней и актуальной информации и инструментов было размещено на сайте Национального разведывательного совета и до сих пор там находится. Совет работает и по сей день. Кроме того, можно заглянуть на веб-сайт проекта Honeynet. Именно во время работы над этим проектом Спицнер написал бо́льшую часть своих трудов о ханипотах и помог всем, кто ими интересовался (включая меня).
К сожалению, Спицнер в конце концов покинул Honeynet и больше не занимается ханипотами. Я спросил его, почему так произошло, и он ответил: «Благодаря работе над проектом я очень хорошо узнал врага. Поскольку мы стали настолько эффективно использовать одни технологии для защиты других, я видел, как кибератакующие быстро адаптируются и нацеливаются на человеческий фактор. Сегодня хакеры часто используют социальную инженерию. Когда вы в последний раз видели большого червя, вроде Conficker [Conficker был очень популярен в 2009 году]? Есть причина, по которой мы больше их не встречаем. Технология по умолчанию стала намного лучше, и теперь атакующие преследуют самое слабое звено – человека. Я заметил эту тенденцию и сформировал собственную компанию по вопросам безопасности. Институт SANS (http://www.sans.org) в конце концов приобрел ее в 2010 году, и теперь она известна как SANS Securing the Human (https://securingthehuman.sans.org/). У нас более 1000 клиентов, которым мы помогаем создавать эффективные программы повышения осведомленности о состоянии безопасности. Теперь я работаю с ними, а также веду курсы и посещаю конференции».
В заключение я спросил Спицнера о том, что его больше всего беспокоит в сфере ИБ сегодня. Он ответил: «Это связано с человеческой составляющей. По-прежнему слишком много внимания уделяется технологии и отсутствует внимание к человеку. Вот почему я работаю над этим. Я люблю то, чем занимаюсь, и верю в это. Плохие парни стали настолько хороши в своем деле, что стало нечего обнаруживать: нет зараженного вложения, вредоносных программ, руткита. Они просто идентифицируют цель с кредитной задолженностью с помощью фишингового электронного письма или поддельного счета и таким образом взламывают жертву. Затем они используют законные средства, такие как PowerShell, чтобы перемещаться по сети и делать плохие вещи. Антивирус и другие технологии не собираются его обнаруживать. По иронии судьбы, безопасность человека часто ставится под угрозу из-за других специалистов по ИБ. Многие из них по-прежнему считают, что вопрос безопасности можно решить только с помощью битов и байтов. Ничто не расстраивает меня больше, чем когда сотрудник безопасности говорит: “Вы не можете исправить глупость”, что означает “Вы не можете исправить человека”. В результате мало что делается для его защиты, и все же мы обвиняем людей в том, что они – самое слабое звено. Это просто глупо».
Информация о Лэнсе Спицнере
Более подробную информацию о Лэнсе Спицнере вы можете найти по следующим ссылкам:
• Honeypots: Tracking Hackers: https://www.amazon.com/Honeypots-Tracking-Hackers-Lance-Spitzner/dp/0321108957;
• Лэнс Спицнер в Twitter: https://twitter.com/lspitzner;
• курсы Лэнса Спицнера в SANS: https://www.sans.org/instructors/lance-spitzner;
• доклад Know Your Enemy: http://old.honeynet.org/papers/enemy/;
• серия докладов Know Your Enemy: http://www.honeynet.org/papers.
21. Взлом паролей
Взлом паролей всегда был популярным видом деятельности кибератакующих, хотя новые методы эволюционировали из простого подбора паролей. В голливудском представлении хакер – это человек, который сидит перед монитором и подбирает правильный пароль, хотя в реальности такое случается довольно редко. Реальный взлом пароля обычно строится на догадках или их отсутствии.
Компоненты системы аутентификации
Чтобы понять принцип работы паролей, вы должны понимать аутентификацию системы в целом. Пользователь (или устройство), также известный как субъект безопасности, должен отправить что-то (например, текстовую метку, сертификат и т. д.), однозначно идентифицирующее их и вход в систему службы аутентификации. Для большинства традиционных сценариев паролей это метка, известная как имя пользователя. Затем субъект должен быть в состоянии доказать право собственности, что обычно делается путем предоставления другой информации, которую знает только субъект и система аутентификации. Это то, что мы называем паролем. Когда пользователь вводит правильный пароль, соотносящийся с именем пользователя, это доказывает, что субъект контролирует имя пользователя, и система разрешает доступ (другими словами, аутентифицируется) и может отслеживать пользователя во время доступа к системе (что зовется учетом или аудитом). Большинство операционных систем также обеспечивает субъекту доступ к необходимым объектам (процесс, называемый контролем доступа). Таким образом, вы можете проследить весь процесс, известный как четыре аспекта – аутентификация, доступ, аудит и учет. Они связаны, но обычно рассматриваются отдельно.
Пароли
Пароль может быть любым допустимым набором символов, который принимает система аутентификации. Например, в Microsoft Windows локальная база данных SAM или сетевая база данных NTDS могут принимать тысячи различных символов, для создания многих из которых требуются специальные комбинации клавиш (например, Alt+0128).
Базы данных проверки подлинности
Пароли хранятся в локальной и/или сетевой базе данных, известной как «база данных проверки подлинности». Обычно она защищена или зашифрована и редко доступна напрямую непривилегированным пользователям. Пароли также часто хранятся в локальной и/или удаленной памяти, когда пользователь или устройство активны.
Хэши паролей
Большинство введенных паролей преобразуются в какую-либо другую промежуточную форму по соображениям безопасности. В традиционных операционных системах пароли нередко преобразуются в криптографический хэш. Он может быть использован в самой последовательности аутентификации или просто сохранен для последующих входов. Общие хэши паролей в системах Windows – это LANManager (LM), NTLANManager (NT) и PBKDF2 для локального хранилища кэша паролей. Системы Linux часто используют MD5, Blowfish (созданный Брюсом Шнайером и описанный в главе 3), SHA-256 или SHA-512. Лучшие хэши создают и используют случайное значение во время создания и хранения хэша пароля. Это затрудняет хакеру его получение, чтобы преобразовать пароль обратно в исходное значение открытого текста.
Вызов-ответ
Это безопасный способ аутентификации, который не передает пароль или его хэш по сетевому соединению. Вместо этого выполняется вызов-ответ. Обычно удаленный сервер, который уже знает пароль клиента или хэш пароля, создает случайное значение и выполняет криптографическую операцию, которую может также правильно выполнить только законный клиент с тем же самым законным паролем или хэшем. Сервер отправляет клиенту случайное значение, а тот использует пароль (или промежуточное представление) для выполнения ожидаемых вычислений и отправляет результат обратно на сервер. Сервер сравнивает результат, отправленный клиентом, с его собственным внутренне ожидаемым результатом, и, если они совпадают, клиент успешно аутентифицируется. Таким образом, если злоумышленник захватывает пакеты, используемые при сетевой аутентификации, у него не сразу будет пароль или хэш, хотя часто с помощью криптографического анализа можно вернуться к одному или другому с течением времени.
Факторы аутентификации
Поскольку пароли могут быть легко украдены (а иногда и подобраны), системы аутентификации все чаще запрашивают дополнительные «факторы» для субъекта, чтобы доказать право собственности на вход в систему. Существуют три основных типа факторов: то, что вы знаете (например, пароль, PIN-код или шаблон), то, что у вас есть (такие как маркер безопасности, мобильный телефон или смарт-карты), или информация о вас (биометрические данные, такие как отпечатки пальцев, сетчатки или геометрия руки). В общем, чем больше факторов требуется для аутентификации, тем лучше. Идея в том, что злоумышленнику труднее украсть два или более факторов, чем заполучить один. Использование двух факторов называется двухфакторной аутентификацией (или 2FA), а использование дополнительных факторов – многофакторной аутентификацией (или MFA). Использование двух или более одинаковых факторов не так сильно, как комбинирование различных типов.