Технологическое развитие, как известно, приносит обществу разные результаты. Наряду с полезным эффектом имеют место и всевозможные издержки. В развитии информационных технологий, пожалуй, среди наиболее неприятных издержек – новые уязвимости и проблемы с обеспечением доступа к данным и их сохранности. Мы попытаемся спрогнозировать, как изменится эта ситуация в самом ближайшем будущем.
Вечные проблемы
Но начнем с тех проблем, которые останутся, к сожалению, актуальными всегда. Никуда не исчезнут лень, халатное отношение к своим обязанностям, некомпетентность. Их влияние можно свести к некоему разумному минимуму, но победить целиком невозможно. К тому же ситуация может со временем меняться, ведь никто не молодеет, а с возрастом освоение нового проходит труднее.
Никуда не денется использование методов социальной инженерии. Использование человеческих слабостей, страхов, инстинктов позволяет выманить ту или иную информацию, казалось бы, примитивными способами.
Еще одна из вечных проблем связана с тем, что законодательное обеспечение неизбежно запаздывает. Эта проблема не типично российская, так происходит во всем мире. И причины в целом схожи: длительность процессов подготовки тех или иных нормативных актов, слабая юридическая подготовка ИТ-специалистов и плохое знание ИТ юристами и законодателями. В результате киберпреступники имеют ненулевой шанс избежать наказания просто потому, что их действия могут оказаться за рамками уголовного кодекса той или иной страны.
Вызовы
В этой части попытаемся обозначить потенциальные проблемы, которые придется решать уже скоро. Хотя некоторые актуальны уже сейчас, в частности вредоносное ПО, направленное против комплексов SCADA/АСУТП. «Первой ласточкой» среди таких вредоносов стал червь Stuxnet, обнаруженный в 2010 г. Деятельность его сводится к искажению информации, передаваемой между промышленными контроллерами и управляющими узлами SCADA-систем компании Siemens, используемых в химической, атомной промышленности, в производстве стекла и стройматериалов, на транспорте. А значит, его можно использовать и в диверсионных целях. В 2011 г. появился Duqu, представляющий собой, по мнению специалистов компании ESET, уже практически платформу для разработки кибероружия, которое вполне может быть использовано в ходе межгосударственных и межкорпоративных конфликтов. А значит, ждать появления новых готовых образцов осталось совсем недолго.
Много новых инструментов злоумышленникам дает использование облаков. Об этом много говорится, и именно проблемы с безопасностью многие рассматривают как главное препятствие для развития публичных и гибридных сервисов на основе облачной модели (см. Защита объектов с неопределенными границами//Intelligent Enterprise, № 7/2011). Однако есть и такие аспекты использования облачных сервисов, которые раньше большинством экспертов не принимались во внимание. Среди них, в частности, использование высокопроизводительных вычислений в облаке. Хакер, скрывающийся под псевдонимом Moxie Marlinspike, уже сейчас открыто предлагает услуги по взлому паролей сетей Wi-Fi, в том числе с использованием алгоритмов WPA2, которые раньше считались практически неуязвимыми (http://www.thg.ru/network/bezopasnost_wifi/). Уходит на это не более получаса. Стоит такая услуга около 20 долл. Этот сервис работает на базе сервиса Amazon FC2. Эксперт по безопасности беспроводных сетей Томас Рот представлял систему, которая демонстрировала скорость подбора паролей в 1 млн вариантов в секунду, для чего было задействовано всего 10 узлов. Их аренда обойдется в 60 долл.
Построить систему той же вычислительной мощности другими способами, например, построив кластер своими силами или создав соответствующий ботнет, было бы минимум на два порядка дороже и намного дольше. Основное препятствие тут – сложность оптимизации кода. А взлом паролей (и не только для входа в сети) – далеко не единственный случай, когда злоумышленники используют высокопроизводительные вычисления. Одна только расшифровка защищенных криптографическими средствами данных, как передаваемых по сетям, так и хранящихся на локальных и сетевых дисках, даст злоумышленникам огромные возможности. Это существенно упрощает кражу денежных средств со счетов банков, предприятий, организаций, а также способствует утечкам критичной информации, что может стать предметом шантажа. И появление таких средств потребует серьезных изменений в стратегии защиты информации.
В случае частных облаков главным слабым звеном становится администратор, имеющий широкие полномочия по доступу к данным. Уже сейчас это приводит к весьма неоднозначным последствиям. Например, при выборе персонала предпочтение отдается более лояльным, а не более квалифицированным сотрудникам, и такая политика может привести к заметным издержкам. Хотя появляются технические средства, которые позволяют проводить операции по администрированию, не имея прав на доступ непосредственно к данным. Но только этим перечень возможных уязвимостей не исчерпывается. В итоге многие эксперты в области безопасности дают весьма неутешительные прогнозы. Да, на момент написания этих строк не было зафиксировано крупных инцидентов, связанных с нарушением защиты информации, хранящейся в частных облаках. Их появление – лишь вопрос времени, причем самого ближайшего.
Другой «модной» темой можно назвать мобильные устройства. Мы уже говорили о целом ряде проблем, связанных с их использованием, в том числе и из числа неочевидных (Удобство против безопасности//Intelligent Enterprise, № 12/2010, Мобильная ловушка//Intelligent Enterprise, № 11/2011). Это и размытие периметра сети, не позволяющее в полной мере применять корпоративные политики по поддержанию безопасности в компании. Часто недостаточно защищены данные, которые хранятся во внутренней памяти устройства, в итоге ими может воспользоваться тот, к кому оно попадет в результате потери или кражи. Впрочем, на современных платформах в этой части наблюдается заметный прогресс.
Вместе с тем само совершенствование мобильных платформ открывает большие перспективы перед злоумышленниками. Так, например, раньше значительным препятствием для появления полноценного вредоносного ПО была низкая производительность мобильных устройств. В результате деятельность вируса или троянца быстро становилась заметной для владельца. Это, однако, не мешало появлению вредоносов, например рассылающих SMS-спам. Некоторые функции можно было реализовывать с помощью специального оборудования, которое было не так просто приобрести и само использование которого в ряде стран, в том числе и в России, уголовно наказуемо. Правда, единичный случай использования таких средств в криминальных целях был зафиксирован в Москве. Теперь же, когда далеко не редкость двухъядерные процессоры, а на подходе и четырехъядерные, возможностей у вирусописателей стало существенно больше. Тем более что в наиболее распространенных программных платформах достаточно уязвимостей. Так что мобильные устройства вполне могут стать элементами обычных «взрослых» ботнетов, предназначенных для рассылки спама, DDOS-атак, краж информации и тому подобного.
Плюс ко всему на рынке ожидается и появление Microsoft Windows 8, в том числе и для платформы ARM, а эта ОС хорошо известна вирусописателям. Будем надеяться лишь на то, что код под другую архитектуру не позволит легко портировать вредоносы.
Надежды
Пожалуй, важнейшим из новшеств стало появление новых биометрических средств идентификации на основе средств распознавания образов. Как утверждается, количество ошибок при этом минимально. А именно это стало непреодолимым препятствием для биометрических средств прежнего поколения, где использовались сканеры отпечатков пальцев. Они отказывались идентифицировать пользователя в случае малейшего изменения рисунка капилляров, которое возникало, например, при порезе или ожоге пальца – наиболее распространенных мелких бытовых травмах. Уже в наступившем году должны поступить в продажу устройства, где идентификация пользователя проводится по его лицу. Не нужно долго говорить о том, сколько проблем снимает появление этой технологии. Все знают о том, что парольная защита не дает гарантии от проникновения посторонних, которые легко могут пароль подсмотреть, украсть, выманить методами социальной инженерии. Кроме того, такие средства идентификации позволяют если не сделать практически невозможным съем информации с утерянного или украденного устройства, то, по крайней мере, серьезно осложнить его.
Другим важным новшеством стало появление автоматизированных средств анализа программного кода. Они позволят существенно сократить количество ошибок и «дыр» в защите, которыми могут воспользоваться злоумышленники. При этом поле для деятельности таких средств существенно шире, чем может показаться. Ведь программный код используется и при донастройке многих систем автоматизации бизнес-процессов. А к этому приходится прибегать практически каждой более-менее крупной компании, которая использует решения класса ERP. И любая ошибка в коде может дать потенциальному злоумышленнику, как внутреннему, так и внешнему, весьма широкие возможности для злоупотреблений и прямых краж денег и товарно-материальных ценностей (о том, как это можно сделать, см. в статье Атака на ERP//Intelligent Enterprise, № 19–20/2009). И использование инструментов по аудиту кода позволяет закрывать многие бреши, которыми может воспользоваться потенциальный злоумышленник. И такие системы уже есть на рынке.
Перспективной технологией некоторые эксперты считают использование механизмов обработки больших данных в системах предотвращения утечек информации (DLP). Таково мнение менеджера IDC по исследованиям и консалтингу в области информационной безопасности в Западной Европе Эрика Домажа. Эти системы в настоящее время переживают определенный технологический застой, и включение данных механизмов позволит дать новый рывок в их развитии. Тем более что использование механизмов работы с большими данными позволяет решить задачу анализа оцифрованного аудио и видео, например, трафика как традиционной телефонной связи, так и VoIP, или видеоконференцсвязи. здесь возникают потенциальные каналы утечек информации, которые DLP-системы на нынешней стадии развития не могут полноценно контролировать. И определенное движение в эту сторону, пусть и довольно робкое и не всегда последовательное, уже началось. Хотя работающие решения появятся лишь через некоторое время. А в коммерческие системы это попадет не раньше чем через пять лет.
