К счастью, большинство современных операционных систем достаточно безопасны. Если вы будете следовать рекомендациям вендора ОС, быстро применять патчи и не поддадитесь социальной инженерии, вас будет сложнее скомпрометировать. Основная часть безопасности зависит от следования рекомендациям вендора. Если вы когда-либо задавались вопросом, как эти рекомендации были выбраны, то вот ответ: они основаны на накопленном опыте и уроках, извлеченных из истории, а также нескольких преданных людях, которые исследуют каждую рекомендуемую настройку и пытаются определить оптимальный баланс затрат/выгод для большинства клиентов.
Аарон Маргосис, один из моих давних друзей, – сотрудник компании Microsoft, который убедился, что Microsoft Windows надежно настроен. В настоящее время у Маргосиса прическа как у рок-звезды, и он так же взволнован аспектами ИБ, как и бейсболом. Он изучает тысячи параметров безопасности, создает бесплатные средства настройки и публикует статьи о безопасных вычислениях в течение почти двух десятилетий. Он написал два из самых невероятных закулисных взгляда на то, как в действительности работает Windows, вместе с Марком Русиновичем (речь о нем идет в главе 11). Многие специалисты считают эти книги едва ли не Библией.
Почти каждый день Маргосис участвует в устранении неполадок, связанных с определенным параметром безопасности, или пытается выяснить, почему некая компания – Microsoft или другая – сделала это своей рекомендацией. За эти годы он нашел десятки очень плохих рекомендаций, многие из которых вызвали проблемы и трудноразрешимые кризисы. Маргосис сделал больше, чем кто-либо другой, кого я знаю, чтобы популяризировать рекомендации касательно безопасности в Интернете, например в Центре интернет-безопасности (https://www.cisecurity.org/). Сейчас он работает с функциями Microsoft AppLocker и Device Guard, которые стремятся остановить вредоносные программы. Это естественное продолжение того, что он делал на протяжении всей своей карьеры.
Я начал наше интервью с вопроса о том, как он очутился в сфере ИБ. Он ответил: «Я получил степень бакалавра психологии в Университете Вирджинии, но у меня всегда был интерес к вычислительной технике. Я начал программировать на BASIC в 1970-е, когда мне было 12 лет. Я взял несколько факультативов по ИБ, когда был студентом Амстердамского университета, но не специализировался на компьютерах, потому что это означало бы изменение моей специальности на инженерию. Позже, после того как я начал работать в области компьютеров, я вернулся в Амстердамский университет и получил степень магистра в области компьютерных наук.
После колледжа я работал в разных компаниях, в том числе в двух, которые производили оборудование для проверки слуха, в компании по бухгалтерскому ПО, а также в фирме, занимающейся мобильными телефонами. Кроме того, я работал в компании Maynard Electronics, которая создала программу резервного копирования NT, поставляемую с первой версией Windows NT, и продукт Backup Exec (в настоящее время Symantec). Меня беспокоило то, как оградить свой компьютер от посторонних (например, моих коллег), и поэтому я заинтересовался сферой ИБ. Я попал в Microsoft в 1999 году и до сих пор там работаю».
Маргосис был одним из первых, кто посоветовал людям не работать в качестве администратора все время. Такой способ становится довольно популярным на Linux и Unix, но он не применяется в мире Windows. Фактически почти каждый разработчик ожидал, что конечный пользователь будет иметь полный контроль над своей системой, чтобы программное обеспечение работало правильно. Microsoft, под большим неформальным влиянием Маргосиса, наконец, решила, что Windows Vista (выпущенная в 2006 году) будет версией, которая, «подведет черту». Она представила функцию под названием “контроль учетных записей пользователей” (UAC), которая заставила всех пользователей работать не от имени администратора, а в качестве обычных пользователей по умолчанию. Последовали десятки тысяч сломанных программ. Попытка заставить вендоров и разработчиков изменить свое мышление в то время была огромной задачей. Люди думали, что изменение учетной записи будет означать конец Microsoft Windows. Все это выглядело очень противоречиво.
Я спросил Маргосиса, в чем заключался его вклад. Он ответил: «В то время Microsoft в целом не думала, что переход от постоянного администратора к стандартным пользователям – это правильный путь. Но некоторые люди были сторонниками этого метода, например Майкл Ховард [профиль в главе 7]. Он говорил об этом и вдохновил меня попробовать работать от лица обычного пользователя. Я последовал его совету, работая с бета-версией Windows XP, и многие вещи оказались совершенно другими. Это был восхитительный вызов. Я начал думать о том, как оставаться продуктивным не как админ, и поэтому начал придумывать рабочие инструменты и методы и поделился ими со всем миром. Моя первая публичная презентация на конференции в Microsoft TechEd состоялась в 2005 году, на ней присутствовало более 1500 участников; выступление было посвящено изменению учетной записи Windows XP по умолчанию. Мои блоги и беседы оказали большое влияние на группу разработчиков Windows Vista. В то время шла борьба, и было неясно, выиграет ли работа в системе в качестве пользователя, но Джим Олчин и команда контроля учетных записей отстояли ее. Я рад, что был частью этого. Это принесло пользу всей клиентской базе».
Я спросил Маргосиса, как он стал работать над своей выдающейся бесплатной безопасной диагностикой и настройкой инструментов. Он ответил: «Это началось с моей задумки по продвижению работы в качестве не-администратора. Правительство санкционировало Федеральную конфигурацию ядра рабочего стола (FDCC), которая включала большой набор параметров безопасности и требовала, чтобы конечные пользователи не подключались с правами администратора, что соответствовало тому, что я делал. Благодаря этому я узнал много нового о параметрах безопасности и групповой политике, а также разработал инструменты для автоматизации задач, которые не были достаточно освещены ранее. Получается, что приведение хорошо проработанных, испытанных и широко используемых базовых показателей – огромное преимущество для клиентов с точки зрения времени и качества. Если бы у нас их не было, каждый клиент в итоге должен был бы выполнять эту работу самостоятельно, что заняло бы много времени и, вероятно, привело бы к неоптимальным результатам. Легко ошибиться и сделать неправильные предположения».
Я спросил Маргосиса, над чем он работает сейчас, кроме базовых версий и конфигураций безопасности. «Я много работаю над белыми списками приложений, используя технологии AppLocker и Device Guard от Microsoft. Это будет мощная и необходимая для компаний защита от вымогателей и других видов вредоносных программ. Но для частных конечных пользователей реализовать ее будет сложно. На предприятии конечные пользователи не должны принимать решения о доверии, поэтому белый список возможен только в хорошо управляемой организации.
Я вижу сходство в том, что делаю сейчас в управлении приложениями и что делал со стандартными пользователями много лет назад. Обе вещи необходимы для лучшей информационной безопасности, и обе ломают программное обеспечение, потому что предположения, которые делали разработчики, больше неактуальны. Вендоры ПО должны перестать предполагать, что их программы могут хранить данные в каталоге программных файлов, и им придется перестать рассчитывать на то, что они смогут активироваться из профиля пользователя или других каталогов, доступных для записи. В то же время это будет интересная проблема совместимости приложений».
Я спросил, что ему было бы интересно узнать об информационной безопасности более подробно. Он колебался минуту, а затем сказал: «Я хотел бы знать, как убедить людей быстрее принимать правильные решения. Не думаю, что я сам научился делать это так хорошо, как мог бы. Я знаю, что поступаю правильно, но умение убедить людей поможет быстрее усовершенствовать безопасность».
Я думаю, что многие люди, описанные в этой книге, поймут боль Маргосиса.
Информация об Аароне Маргосисе
Более подробную информацию об Аароне Маргосисе вы можете найти по ссылкам:
• Troubleshooting with the Windows Sysinternals Tools (2-е издание): https://www.amazon.com/Troubleshooting-Windows-SysinternalsTools-2nd/dp/0735684448;
• Windows Sysinternals Administrator’s Reference: https://www.amazon.com/Windows-Sysinternals-Administrators-Reference-Margosis/dp/073565672X;
• блог Аарона Маргосиса о работе не-администратора: https://blogs.msdn.microsoft.com/Aaron_Margosis;
• технический блог Аарона Маргосиса на US Government Configuration Baseline (USGCB): https://blogs.technet.microsoft.com/fdcc;
• блог Аарона Маргосиса на Microsoft Security Guidance: https://blogs.technet.microsoft.com/SecGuide.
33. Сетевые атаки
Во второй главе «Как хакеры взламывают» описывались различные способы, которыми злоумышленники пытаются использовать вычислительное устройство. Это физические нападения, уязвимости нулевого дня, устаревшие программы, социальная инженерия, пароли, проблемы, атака через посредника, утечка данных, DDoS-атаки, ошибки пользователей и вредоносные программы. Все эти атаки могут быть выполнены как на самом вычислительном устройстве, так и в сети, подключенной к вычислительному устройству.
Типы сетевых атак
Сетевые атаки могут произойти в любом месте модели Open Systems Interconnection (OSI) (https://en.wikipedia.org/wiki/OSI_model). Модель OSI – широко известная и используемая конструкция, показывающая различные уровни взаимодействия по сети и сетевому вычислительному устройству. У модели OSI есть семь уровней:
• физический;
• канальный;
• сетевой;
• транспортный;
• сеансовый;
• представительский;
• прикладной.
Взлом сети, а также устройств управления сетями может осуществляться на всех уровнях (сетевые устройства так же могут запускать приложения), при этом взлом компьютера в сети также может осуществляться на многих уровнях. Атака на физическом уровне осуществляется путем получения доступа, поломки или кражи сетевого оборудования. Для атак на канальном уровне используются сетевые мосты, коммутаторы, а также протоколы и стандарты этих уровней, например MAC-адрес устройства (https://en.wikipedia.org/wiki/MAC_address). Сетевой уровень отвечает за маршрутизацию, транспортный и сеансовый обеспечивают передачу данных на верхние уровни, а прикладной и представительский отвечают за отображение данных на устройстве или в приложении. Если в сетевой среде передачи данных работают несколько пользователей и нет дополнительной защиты, то всегда есть вероятность, что один узел сети может вмешиваться в работу других узлов. В следующих разделах описаны самые популярные виды сетевых атак.
Прослушка
Это несанкционированное прослушивание и/или запись приватного разговора, предназначенные для других целей. Несмотря на то что сейчас это не так успешно, много лет назад вы могли подключить приложение сетевого прослушивания к любой сети и видеть текстовые потоки разговоров и информацию об аутентификации. В Интернете есть множество бесплатных инструментов для захвата текстовых паролей. Есть и другие инструменты, которые позволяют захватывать файлы cookie. В большинстве случаев это не требует специальных знаний, необходимо лишь умение запускать программное обеспечение.
Атаки «через посредника»
Атаки «через посредника» (MitM) также могут быть выполнены на любом уровне модели OSI. Атака MitM врывается в несанкционированный поток связи и притворяется уполномоченной стороной для всех других уполномоченных сторон. Большую часть времени вовлеченная оригинальная, законная сторона подвергается воздействию и часто выбивается из потока связи. MitM-атаки совершаются по тем же причинам, что и подслушивание, в том числе для просмотра и кражи личных данных. Тем не менее они также могут манипулировать коммуникационным потоком, чтобы изменить данные, например заменить «да» на «нет», когда кто-то задает вопрос или неправильно направляет одну или несколько прослушивающих сторон в несанкционированное место.
Сегодня у многих сетевых протоколов и приложений есть защита от атак MitM, но они не всегда включены по умолчанию, часто из-за проблем производительности или совместимости. Например, открытый стандарт DNSSEC был создан в 2004 году для предотвращения атак подмены DNS, но прошло уже более десяти лет, и менее 1 % DNS-серверов в мире используют его.
DDoS-атаки
Атаки типа «отказа в обслуживании» (DDoS), возможно, наиболее распространенные и легкодоступные атаки в Интернете. Ежедневно в Интернете отправляются терабайты данных для прерывания работы законных сайтов и служб. DDoS-атаки могут атаковать на любом уровне модели OSI.