На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Программное обеспечение и информационные войны

Второй наидревнейшей профессией является война. Но даже такое древнее заня­тие преобразуется в современном кибер-мире. Умение выстоять в информационной войне предельно важно для каждого государства и корпорации, которые планируют свое развитие (и выживание) в современном мире. Даже если нация не готовится к информационной войне, то это делают ее противники, и неподготовленное государ­ство будет иметь проигрышную позицию в будущих войнах.
Сбор информации критически важен для ведения войны. Поскольку информаци­онная война ведется и за информацию в том числе, то она неразрывно связана со сбором информации4. Классическая разведка преследует четыре основные цели:
• защита государства (и государственная безопасность);
• помощь в военных действиях;
• расширение политического влияния на мировом рынке;
• увеличение экономической мощи.
Хорошим шпионом всегда был тот, кто умел собирать и правильно распоряжать­ся большими объемами секретной информации. В современную эпоху распределен­ных вычислений это особенно справедливо. Если к секретной информации можно получить доступ через сеть, для шпиона вовсе необязательно личное присутствие, т.е. остается меньше шансов на то, что тебя обнаружат. Это также означает, что воз­можности для сбора информации обходятся дешевле, чем традиционные средства шпионажа.
Поскольку война неразрывно связана с экономикой, электронная война во мно­гих случаях касается электронных счетов. Современные деньги — это просто набор электронов, которые находятся в нужное время в нужном месте. Триллионы элек­тронных долларов ежедневно передаются между государствами. Управление гло­бальными сетями означает управление глобальной экономикой. Это и есть основная цель информационной войны.
Электронный шпионаж
Некоторые аспекты информационных войн можно смело назвать электронным шпионажем (digital tradecraft). В словаре этот термин поясняется как одно из "средств и методов шпионажа...".
Современный шпионаж осуществляется с помощью программного обеспечения. При информационных атаках на компьютерные системы для доступа к нужной ин­формации используются уязвимые места в существующем программном обеспече­нии или потайные ходы, внедренные в программу до ее установки. Уязвимые места в программах различаются от неправильной конфигурации до ошибок, допущенных на стадии программирования и разработки проекта. Иногда злоумышленник может просто запросить нужную информацию от атакуемой программы и получить тре­буемый результат. В других случаях в систему должен быть внедрен вредоносней код. Некоторые авторы разделяют вредоносный код на логические бомбы, програм­мы для перехвата данных, "троянских коней" и т.д. Правда в том, что вредоносный код способен осуществить практически любые действия. Поэтому классификация этого кода становится бесполезной, если пытаться ее выполнить исходя из конечно­го результата применения программы атаки. В некоторых случаях классификация все же помогает пользователям и аналитикам сетевого трафика различать различные категории атак. Если рассматривать ситуацию на высшем уровне, то с помощью вре­доносного кода можно выполнять любую комбинацию следующих действий.
1. Сбор данных:
• перехват пакетов;
• отслеживание нажатий клавиш;
• извлечение информации базы данных.
2. Использование "невидимости":
• сокрытие данных (например, сокрытие файлов журналов и т.д.);
• сокрытие запущенных процессов;
• сокрытие пользователей, работающих в системе.
3. Скрытые соединения:
• организация "невидимого" удаленного доступа;


• извлечение секретных данных из системы;
• создание скрытых каналов. 4. Подчинение и управление:
• создание условий для удаленного управления системой;
• вредительство (как вариант подчинения и управления);
• блокирование управления системой (атаки отказа в обслуживании).
Эта книга в основном сфокусирована на технических деталях использования программного обеспечения в целях создания и внедрения вредоносного кода. Зна­ния и методы, изложенные в этой книге, не являются чем-то принципиально новым и применялись небольшой (но растущей) группой людей уже почти 20 лет. Многие методы атак были по несколько раз изобретены группами хакеров, которые работали независимо друг от друга.
Только сравнительно недавно методы взлома программного обеспечения были объединены и отнесены к "отдельной науке". Исторически так сложилось, что для достижения одинаковых целей использовались различные методы. Зачастую методы восстановления исходного кода программы разрабатывались как побочный продукт в процессе взлома программ. Методы создания вредоносного кода подобны методам для взлома защиты программного обеспечения (например защиты с помощью за­плат). Естественно, что разработчики вирусов используют приблизительно одина­ковые основополагающие идеи. В 1980-х годах было несложно найти программный код вируса или код для взлома программы. С другой стороны, идеи хакинга про­грамм зародились среди администраторов UNIX-систем. Многие люди, знакомые с классическими способами хакинга в сетях, думали прежде всего о получении паро­лей и создании лазеек в программном обеспечении и совершенно забывали о вредо­носном коде. В начале 1990-х годов обе "дисциплины" начали сливаться в единое движение хакеров и по Internet стали распространяться первые программы атаки для получения удаленного доступа к командному интерпретатору.
Существует множество книг по компьютерной безопасности, но ни в одной из них не описывается атакующий аспект с точки зрения программиста5. Все книги по хакингу, включая и популярную серию Секреты хакеров, можно назвать кратким изложением сценариев атак хакеров и существующих программ атаки. При этом ос­новное внимание уделяется проблемам безопасности при атаках по сети и практиче­ски ничего не говорится о поиске новых программ атаки. Такой подход нельзя на­звать правильным, поскольку специалисты, которые создают системы защиты, плохо осознают, против чего же они в действительности борются. Если мы будем продол­жать защищаться только против плохо вооруженных новичков в деле хакинга, то наша защита никогда не позволит нам выдержать более сложные атаки настоящих хакеров, которых становится все больше.
Зачем писать книгу, полную потенциально опасных сведений, которыми могут воспользоваться злоумышленники? В основном мы хотим рассеять распространен­ное заблуждение о возможностях программ атаки. Многие люди не понимают, на-
сколько опасными могут быть хакеры и что только несколько современных техноло­гий по обеспечению защиты в сетях могут остановить этих хакеров. Возможно, дело в том, что программное обеспечение представляется неким волшебством для боль­шинства людей, а возможно, дело в неправильной информации, распространяемой недобросовестными (или просто несведущими) поставщиками программ по обеспе­чению безопасности.
Хвастливые заявления некоторых хакеров можно считать важным сигналом тре­воги, который мы больше не вправе игнорировать.
Как думают некоторые хакеры
"Дайте человеку взломанную программу и завтра ему понадобится новая програм­ма, научите его взламывать программы — и он никогда не обратится к вам снова ".
+ORC
Во что верят злоумышленники, которые взламывают программы? Как они узнали о воз­можности создания программы атаки? Какое учебное заведение окончили? Ответы на эти вопросы будут важны, если мы хотим найти верный подход к решению проблемы создания безопасных компьютерных систем.
В некотором смысле осведомленный хакер является одним из самых могущественных лю­дей в современном мире. Хакеры часто перечисляют бесконечное количество удивитель­ных фактов об атаках на программное обеспечение и их результатах. Интересный вопрос заключается в том, являются ли эти факты правдивыми. Многие из заявлений имеют под собой реальную основу, и даже если они преувеличены, то все равно дают возможность оценить ход мыслей хакеров.
Обычно злоумышленники распространяют следующие заявления.
• Хакеры проникли в большинство из 2000 глобальных корпораций. Каждое из главных финансовых учреждений не только было взломано, но хакеры продолжают активно использовать доступ к этим учреждениям.
• Большая часть программного обеспечения, созданного сторонними разработчиками I (по контрактам), содержит многочисленные потайные ходы, и крайне сложно провес­ти независимую оценку этих программ. Компании, которые заказывают программ­ное обеспечение, зачастую вообще не уделяют никакого внимания безопасности программ.
• Каждое мощное государство на планете тратит крупные суммы на создание средств как для защиты программ, так и для атаки на программное обеспечение.
• Брандмауэры, антивирусные программы и системы обнаружения вторжений рабо­тают недостаточно надежно. Поставщики программного обеспечения, предназначен­ного для защиты информационных систем, дают невыполнимые обещания и реали­зуют защиту только от стандартных атак по сети. Не уделяется достаточного внимания проблемам безопасности программного обеспечения.
Далее приведены наиболее распространенные "постулаты" хакеров. "Знающий" человек обычно верит в эти "постулаты" по проблемам безопасности программного обеспечения.
• Защиты от копирования программного обеспечения никогда не было и никогда не будет. Это невозможно даже теоретически.
• Владение исполняемым программным кодом в двоичной форме не менее привлека­тельно (если не более), чем владение исходным кодом программы.


Не существует коммерческих тайн программного обеспечения. Принцип "безо­пасность с помощью неизвестности" (или "о чем не знают, того не украдут"), работает только на руку потенциальным злоумышленникам, особенно если неизвестность при­звана скрыть недостатки программы.
• Существуют СОТНИ невыявленных программ атаки, которые используются прямо сей­час, и они останутся невыявленными еще многие годы.
• Никто не может надеяться на безопасность своих систем, используя только заплаты для программ и "полные** списки рассылки по проблемам безопасности. Информа­ция этих источников обычно слишком запаздывает и появляется значительно позже появления программы атаки/
• Большинство подключенных к Internet компьютеров (за очень редким исключением) могут быть удаленно взломаны прямо сейчас, включая и те, на которых запущено самые современные, полностью обновленные версии Microsoft Windows, Linux, BSD и Solaris. To же самое касается и популярных приложений от других производителей, например Oracle, IBM, SAP, PeopleSoft, Tivoli и HP.
• Многие "аппаратные" устройства, подключенные к Internet (за редкими исключения­ми), могут быть удаленно взломаны прямо сейчас, включая коммутаторы 3COM, маршрутизаторы Cisco и их программы IOS, брандмауэры Checkpoint и распредели­тели нагрузки F5.
• С помощью уязвимых мест в программном обеспечении SCADA, большинство крити­чески важных систем обеспечения, которые управляют подачей воды, газа, нефти и электрической энергии, могут быть взломаны и управляться удаленно.
• Если квалифицированный хакер захочет взломать какую-то конкретную машину, он добьется успеха. Переустановка операционной системы или загрузка нового образа системы после ее компрометации не поможет защититься от атаки, поскольку опыт­ный хакер способен переписать встроенные программы для микрочипов системы.
• Спутниковые системы были взломаны и продолжают испсльзоваться хакерами.
Если верить хакерам, все это происходит в настоящее время. И даже если только некото­рые из этих заявлений соответствуют действительности, то пришла пора всем нам вынуть голову из песка и понять, что происходит на самом деле. Вообэажать, что информации, из­ложенной в этой книге, не существует и что она не имеет особсго значения, просто глупо.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика