Защити себя сам

 Автор: Ким Зеттер

Представьте себе, что вы владелец маленькой компании. Ваш бизнес идет вполне успешно, но вдруг вы обнаруживаете, что такие конфиденциальные данные клиентов, как номера кредитных карт и контактная информация, размещены в Интернете для всеобщего обозрения. Вам не ясно, как это произошло, и вы не знаете, как с этим справиться.

Именно такой кошмар и стал реальностью для компании, по понятным причинам пожелавшей сохранить анонимность. После трехнедельных попыток обнаружить канал утечки информации ее владельцы обратились за помощью к Джеймсу Синклеру, главному технологу компании Global Network Security Services (GNSS). Там быстро установили, что несанкционированный доступ стал возможен через брешь в базе данных FileMaker Pro Web Companion. «Это довольно редкий случай, ведь с этим продуктом работают лишь немногие, - размышлял Синклер. - Похоже, хакерам просто выпал счастливый билет, хотя они и тыкали пальцем в небо». Следует заметить, что за два месяца до случившегося компания FileMaker опубликовала на своем сайте «заплатку», но пострадавшая фирма не узнала о ней, так как не имела в штате соответствующего специалиста. К сожалению, у разработчиков ПО еще не устоялась привычка по электронной почте уведомлять пользователей о своих ошибках и вариантах их устранения.

Конечно, любые помехи в работе неприятны. Зависание системы после запуска приложения раздражает, но когда недоработки в системе безопасности программ открывают ваш ПК для атак, то уже очень хочется найти, кто за это ответит. Пользователи правильно считают, что в первую очередь сами производители должны заниматься подобными проблемами. К сожалению, в действительности дело обстоит совсем не так, и большинство пользователей на Западе убеждены, что заставить производителей задуматься о своей ответственности может только суд. Однако найти виновника практически невозможно, и как это ни грустно, приходится смиряться с тем, что ошибок будет тем больше, чем сложнее используемая программа. Впрочем, почитав специальную литературу и став в некотором роде сам себе специалистом, вы сумеете многое сделать для защиты своего ПК.

Они отравляют нам жизнь:

Почти в каждом продукте, начиная с операционных систем и заканчивая браузерами и антивирусными пакетами, есть какая-нибудь брешь. В списке BugTraq, рассылаемом компанией SecurityFocus с целью оповестить пользователей о дырах и заплатках, содержится информация о 35 ошибках в одной лишь Windows 98, а в Internet Explorer их найдено 69. Но следует признать, что дыра дыре рознь. Одни из них приводят к крупным неприятностям, а другие обнаруживаются крайне редко и затрагивают лишь немногих. «От сбоя в FileMaker Pro Web Companion могла пострадать лишь небольшая часть всех пользователей, - считает Стив Руддок, представитель FileMaker, — и насколько я знаю, такая ошибка считалась теоретической. Мы никогда раньше не слышали о том, чтобы она нанесла ущерб кому-либо». К сожалению, его слова не слишком утешают пострадавших.

Понятно, что дыры в таких популярных приложениях, как Outlook или Norton AntiVirus, доставляют неприятности отдельным пользователям, а вот от ошибок в серверных программах страдают уже многие. Например, сбой в корзине покупок онлайнового магазина может позволить мошенникам узнать номер вашей кредитной карты, и вы вряд ли будете смотреть сквозь пальцы на такую «брешь», поскольку она затрагивает ваши кровные интересы. Весьма удивителен тот факт, что для управления своими подводными лодками американский флот использует Windows NT, операционную систему, полную ошибок, включая и связанные с проблемами безопасности. Например, известно, что в 1997 г. ракетоносец США пропал с экранов радаров из-за серьезного огреха вычислений в этой ОС. В лист BugTraq включены 164 ошибки, содержащиеся в системе Windows NT 4.0, предшественнице Windows 2000 и XP. «Эта операционная система была разрекламирована как гарантирующая полную защиту, - говорит Ричард Пауэр из Института компьютерной безопасности (Computer Security Institute) в Сан-Франциско, - однако в ней оказалось столько дыр, что хакеры называют NT одной большой ошибкой».

Кто виноват?

Менеджер по программированию Скотт Калп из Центра безопасности Microsoft, исследующего информацию об ошибках и создающего заплатки, считает, что идеальных программ не бывает: «Все существующие разработки содержат ошибки, и все программы, которые будут когда-либо созданы, также будут дырявыми». Но что же происходит на самом деле? Теперь действительно становится больше ошибок или просто стало легче их находить? Брюс Шнейер, главный технолог компании Counterpane и автор двух книг по криптографии, размышляет: «Сейчас дыры в программах ищут как программисты, желающие сделать свой продукт надежнее, так и хакеры, пытающиеся сломать защиту. И лазеек оказывается все больше. Чем сложнее становятся системы, тем больше они теряют в надежности. Слабые места появляются чаще, чем мы их успеваем находить». По словам Шнейера, производители, подгоняемые конкуренцией и желанием пользователей получить наибольшее число функций, добавляют совершенно ненужные опции. Чем длиннее программа, тем чаще сбои. Не установлено каких-либо норм, ограничивающих максимальное число ошибок, однако позволительной считается одна на 10 тыс. строчек программы. Правда, если все будут следовать такому правилу, число допускаемых ошибок в крупных продуктах станет просто невероятным: тело программы Windows 2000 содержит 40 млн. строчек.

Элиас Леви, технолог компании SecurityFocus и модератор BugTraq, утверждает, что ошибки возникают из-за недостаточно высокого профессионального уровня создателей программ: «Многие программисты покидают колледж на первом или втором году обучения... А если все же получают законченное образование, следует учесть, что в большинстве университетов написание надежных программ просто не входит в курс обучения».

Брюс Шнейер полагает, что ошибки появляются тогда, когда пользователь комбинирует различные программы, например макросы Microsoft Word и электронную почту. В сущности, макросы - это микропрограммы, автоматизирующие какие-либо действия. В целом они полезны и не опасны до того момента, пока ими не воспользуются со злым умыслом. Но в комбинации с электронной почтой макросы (а также аплеты Java и ActiveX) могут стать миной замедленного действия. Пауэр из Института компьютерной безопасности убежден, что производители давно должны были насторожиться и потенциально опасные функции отключить по умолчанию, чтобы программы спрашивали у пользователя, запускать ли подозрительный код. Он утверждает: «Сам процесс открытия того, что отключено по умолчанию, заставит пользователя задуматься о безопасности».

Мишень Microsoft:

Несомненно, не только в продуктах Microsoft имеются ошибки. Программы Adobe Acrobat Reader, AOL Instant Messenger, Netscape Navigator, Norton AntiVirus также нельзя отнести к самым надежным. Однако Microsoft, по мнению Леви, просто бельмо на глазу. Именно на нее критики обращают особое внимание, ведь ошибка, затрагивающая миллионы пользователей, неизбежно привлечет хакеров. Компанию Microsoft осуждают также за то, что она, имея огромные возможности для досконального тестирования ПО, спешит выставить на продажу еще сырые продукты, в которых заведомо есть дыры.

Скотт Калп сообщает, что Центр безопасности Microsoft сначала изучает код программы, а затем тестирует ее всевозможными способами, и признает, что всегда найдутся люди, которые станут использовать программу так, как разработчикам даже не приходило в голову. Такой большой пакет, как Windows, невозможно протестировать целиком. Его разбивают на части и потом отдают нескольким командам программистов. Марк Крофт, менеджер Windows XP, считает, что лишь около десятка человек представляют себе полную картину программы. А Калп подчеркивает, что раньше Microsoft считала вполне нормальным продать продукт с несколькими неопасными и трудно обнаруживаемыми лазейками. Кроме того, очень низко оценивалась возможность навредить клиентам. Впрочем, он отмечает: «После Windows 2000 мы решили отступить от этого правила и действовать так: если в программе найдена ошибка, то мы не пускаем ее в продажу». Однако Шнейер опровергает утверждение о том, что Windows стала устойчивей и безопасней: «Microsoft обещала, что Windows 2000 будет надежней предыдущих версий. Но в ней оказалось еще больше ошибок».

Быть может, вас утешит тот факт, что теперь Microsoft более внимательно относится к выпуску заплаток. Служба поддержки этого гиганта в 2000 г. получила 10 тыс. писем с описанием ошибок, что заставило компанию провести 600 исследований и выпустить 100 описаний различных проблем. «Хотя мы стараемся изо всех сил, однако далеко не всемогущи. Потому-то и существует техническая поддержка... Кроме того, мы продолжаем совершенствовать продукт и после выпуска в продажу», — сообщил Калп.

Можно ли всерьез надеяться, что производители исправят те ошибки, которые они сами же и создают? Роберт Уоллес так не считает. Он установил заплатку для IE 5.5 и не смог перезагрузить свой ПК. В течение 17 ч после уплаты 35 долл. и четырех звонков технической поддержке Microsoft ничего не изменилось. Ему пообещали перезвонить и действительно перезвонили... через пять рабочих дней. За это время его 15-летний сын восстановил систему с резервной копии. «Специалисты Microsoft были вежливыми, и они возвратили деньги, но пять дней я не мог работать». Как вам это нравится?

Охотники за ошибками:

Несмотря на то что Microsoft и другие компании тестируют свои продукты, многие ошибки в защите остаются незамеченными. Поэтому до поступления продукта в продажу добровольцы делают с бета-версией программы все, что придет в голову. «Охотники за ошибками» ищут те лазейки, которые не заметили производители. Эти энтузиасты - специалисты по безопасности, системные администраторы, взломщики кодов и хакеры - «идеалисты», не использующие дыры для взлома систем. После того как человек находит лазейку, он может либо сообщить о ней разработчикам, либо сразу же предать ее огласке, как поступают, например, издатели BugTraq. Тогда первыми об ошибке узнают администраторы, специалисты по безопасности и журналисты.

Понятно, что разработчики ПО стараются не распространяться о найденных дырах. Публикации в Интернете - самый эффективный способ заставить производителей как можно быстрее выпустить заплатку. Хакеры и профессионалы в этой области считают, что иначе лазейка будет просто проигнорирована создателями ПО, стремящимися сохранить хорошую мину при плохой игре. К тому же таким образом уменьшается количество застигнутых врасплох пользователей, ведь даже если заплатки еще не существует, опасную функцию можно отключить и дождаться того момента, когда будет выпущено исправление.

Хакер по прозвищу Rain Forest Puppy, написавший неофициальное руководство по поиску ошибок, полагает, что создатели ПО могут сидеть сложа руки даже после публикации. Поэтому он советует тому, кто нашел лазейку, отводить производителям пять рабочих дней либо на выпуск заплатки, либо на сообщение о том, сколько времени необходимо для исследования проблемы. Он убежден: «Если за это время они ничего не предпримут, то, значит, так ничего и не сделают».

Иногда предавать широкой огласке информацию об ошибке бывает очень вредно: среди консультантов или администраторов, читающих сообщения о лазейках, могут оказаться хакеры, выискивающие те бреши, которые можно использовать для взлома. Так, через месяц после обнаружения ошибки в Microsoft Internet Information Server (IIS) некий хакер воспользовался ею, чтобы написать вирус Code Red.

Еще опаснее сообщения с примерами программ, реализующих ошибку, - они становятся идеальным пособием для взломщика. Неважно, что изначально они предназначались администраторам (для проверки систем на содержание ошибки или тестирования заплатки) и программистам (для убеждения начальников в необходимости выпуска заплатки). Леви отмечает, что публикация ошибок — палка о двух концах: «Предостерегая порядочных людей, невольно помогаешь злоумышленникам». Однако Леви и Шнейер соглашаются, что подобные публикации все-таки приносят больше пользы, чем вреда. Подтверждением этому может послужить тот факт, что заметно улучшилась реакция компаний-разработчиков на обнаружение лазеек. Так, до 2001 г. компания Apple даже не имела отдельного адреса электронной почты для сообщения об ошибках. Теперь этот недочет она исправила. Согласно объективным данным, сотни тысяч систем могли избежать атаки Code Red, если бы администраторы более внимательно отнеслись к публикациям об ошибках, ведь за месяц до этого Microsoft выпустила заплатку для исправления ошибки переполнения буфера, которая использовалась вирусом.

Сопротивление:

Разработчики ПО выпускают в продажу «бракованный» продукт гораздо чаще, чем это происходит в других отраслях. Компания «Крайслер» не поставит на конвейер автомобиль с заведомо неотлаженным узлом, поскольку фирма понимает, что отвечает за вашу жизнь. Программисты же не торопятся учиться на своих ошибках. «Еще в 1960-х гг. переполнение буфера (buffer overflow) было признано одной из причин возникновения сбоев, и впервые злоумышленники взяли его на вооружение в 1970-х... И хотя прошло почти 40 лет, ошибка переполнения буфера до сих пор является одной из самых типичных. Но ведь с этой проблемой не так уж и сложно справиться! Такого прощать производителям нельзя», - считает Шнейер. Понятно, хотя и неприятно, что наличие дыр в некоторой степени простительно для сложных программ. К тому же законодательство не обязывает производителей выпускать заплатки к собственным дырам. Конечно, если недоработка программы для расчета личных финансов откроет чьи-то конфиденциальные данные на всеобщее обозрение, то производителю придется всерьез призадуматься. Но большинство существующих ошибок все-таки не столь заметны. В частности, о лазейке, позволяющей хакеру атаковать ваш ПК, вы можете и не догадываться. Шнейер утверждает, что заставить производителей продавать более качественные продукты могут только судебные иски и повышение страховых взносов, хотя и это спорно. Например, страховая компания J. S. Wurzler Underwriting Managers увеличила размер компенсации для тех, кто работает с Windows NT и IIS, но ни один клиент так и не обратился с иском к производителям этого ПО. Создатели заранее приложили все усилия, чтобы защитить собственные интересы. Они подстраховывают себя, сообщая об «ограниченной ответственности» разработчика в лицензионных соглашениях, которые необходимо принять для установки программы. Идя на такие условия, пользователь лишается при обращении в суд многих прав, впрочем, до сих пор в судебной практике США подобных случаев не было.

По сути своей ПО — такая область, где неизбежны ошибки. Можно ли прижать производителей к стенке? Леви предлагает пользователям действовать, а не раздумывать: «Microsoft ориентирована на потребителя. Если бы клиенты требовали надежности или платили за безопасность, компания наверняка бы обратила на это внимание. А пока, хотя Microsoft слышит наши претензии, она не считает устойчивость системы приоритетным направлением». Настало время, когда пользователи должны призвать производителей к ответу, а если те не среагируют, то уходить к другим. Конечно, отказаться от какого-либо продукта не всегда возможно, особенно когда все вертится вокруг Microsoft. Но пока программы не стали более надежными, пользователи должны защищаться сами.

:: на начало ::