Текст книги "Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности"

10. Профиль: Сьюзен Брэдли

Я познакомился со Сьюзен Брэдли более 15 лет назад, когда получил статус одного из наиболее ценных профессионалов Microsoft (MVP, Most Valuable Professionals). Как известно, этот статус присваивается независимым лидерам сообщества, которые демонстрируют совершенное владение одной или несколькими технологиями Microsoft и активно взаимодействуют с конечными пользователями, например ведут блог, рассылку или колонку в СМИ. С самого начала было ясно, что Брэдли – одна из лучших MVP-экспертов. Она очень умна, трудолюбива и всегда готова помочь не только конечным пользователям, но и другим MVP-экспертам (которые тоже являются конечными пользователями). Статус MVP был впервые присвоен Сьюзен в 2000 году в связи с выпускавшимся в то время продуктом Microsoft Small Business Server (SBS), однако ее глубокие технические знания этим не исчерпывались и охватывали в том числе систему Windows. С тех пор она продолжает получать статус MVP-эксперта каждый год (https://mvp.microsoft.com/ru-ru/PublicProfile/7500?fullName%20=Susan%20Elise%20Bradley), но теперь этот статус относится к категории Cloud and Datacenter Management.

Если вы не знаете, что такое Small Business Server, просто возьмите самые главные и сложные продукты Microsoft (например, Active Directory, Exchange, SQL, Outlook и т. д.), объедините их в одну программу для малого бизнеса и скажите, что ее легко использовать. Я заработал кучу денег, консультируя клиентов, которые быстро поняли, что это совсем нелегко. Брэдли оказала мне техническую поддержку, когда я столкнулся с проблемой, которую не смог решить самостоятельно. Мы периодически встречались на национальных конференциях, посвященных ИБ, на которых выступали, и немного сблизились на почве общего бухгалтерского прошлого. Мы оба – сертифицированные бухгалтеры (CPA), правда в настоящее время я уже не работаю в этой области, а она остается партнером в бухгалтерской фирме. Брэдли имеет сертификат SANS Global Information Assurance Certification (GIAC), стала автором отдельных глав к нескольким книгам, а также соавтором рассылки Windows Secrets (https://www.askwoody.com/author/sb/).

На мой вопрос о том, как она попала в сферу ИБ, Брэдли ответила: «Сфера бухгалтерского учета, в которой я начинала свою карьеру, по определению связана с деньгами и конфиденциальностью. А обеспечение безопасности транзакций, на которые мы полагаемся, имеет непосредственное отношение к информационной безопасности. Мы должны убедиться в том, что данные, введенные с клавиатуры (а теперь еще и с помощью голосового ввода, точек данных, датчиков и т. д.), попадут в целевой репозиторий в неискаженном виде. Я начала обращаться к представителям малых предприятий и другим людям по вопросам установки патчей. У меня был серверный продукт, состоящий из различных программ, которые мне нужно было пропатчить, а простого способа сделать это тогда не существовало. В те времена люди практически не устанавливали исправления в свои продукты. Затем [в 2003 году] появился червь SQL Slammer, оказавший на мир огромное влияние. Самое интересное, что исправление для соответствующей уязвимости было выпущено за шесть месяцев до его появления. Но сам процесс установки патча был слишком сложным. Я научилась делать это в своих продуктах, а затем поняла, что мой опыт может оказаться полезным и другим предпринимателям. Так я пришла к тому, чем занимаюсь сейчас».

Брэдли по-прежнему взаимодействует с представителями малого бизнеса, а также помогает людям защищаться от программ-вымогателей и восстанавливаться после соответствующих атак. На мой вопрос о том, что именно она рекомендует своим клиентам, она ответила: «За несколько лет стало очевидно, что программы-вымогатели представляют собой большую проблему не только для потребителей, но и для малых предприятий. Учитывая то, насколько сложно бывает отыскать нужную информацию, три года назад мы с моей подругой и MVP-экспертом [с 2006 года] Эми Бабинчак создали набор Ransomware Prevention Kit (https://www.thirdtier.net/product/ransomware-prevention-kit-policies/). Он содержит всю необходимую информацию и инструменты для защиты от программ-вымогателей, включая параметры групповой политики и скрипты, а теперь еще и видео. Это не бесплатно. Минимальная цена продукта составляет 25 долларов. Первоначально все полученные от продажи средства шли в женский стипендиальный фонд (www.thirdtier.net/women-in-it-scholarship-program/). Тетя Эми одолжила ей необходимую сумму для получения первого сертификата, и Эми считает, что без этого столь необходимого кредита ей не удалось бы достичь успеха. Так она пытается вернуть долг. Стипендиальный фонд возмещает женщинам стоимость IT-экзаменов в случае их успешной сдачи. Изначально Эми поставила цель собрать для фонда 10 000 долларов, и они были собраны за девять месяцев. Сегодня в этот фонд поступает уже не все, а только часть средств от продажи набора Ransomware Prevention Kit. На обновление продукта уходит огромное количество времени, но Эми изо всех сил старается сделать так, чтобы по мере обновления каждый покупатель получал актуальную копию, а это требует огромных усилий».

Я спросил Брэдли о том, что, по ее мнению, является главной проблемой в сфере информационной безопасности, на что она ответила: «Мы отвлекаемся на следствия, вместо того чтобы докапываться до первопричин. Возьмем, к примеру, наблюдаемое сегодня безразличие к утечкам данных. Поскольку эти утечки не сильно затрагивают бизнес, мы полагаем, будто достаточно обеспечить соответствие стандартам PCI (см. главу 37 «Политики и стратегия»), и сосредоточиваем внимание на пунктах чек-листа, вместо того чтобы задуматься о повышении безопасности потоков данных. Отчасти сложность заключается в том, что технологии постоянно меняются. Однако основополагающая проблема остается прежней. Когда-то (очень давно) мы использовали мейнфреймы, затем появились ПК, серверы и сети (распределенная модель ПК). В то время люди просто устанавливали серверы, не задумываясь об их защите. Сегодня мы переходим к использованию облачной модели. Практически все мигрируют в облако, но допускают при этом те же ошибки. Люди переносят туда свои серверы или используют облачные сервисы для ведения бизнеса, но не понимают, как все это защитить. Мы совершаем те же ошибки, только теперь все усложняется тем, что клиент не всегда может повлиять на безопасность, и расследовать преступления становится труднее. Иногда кажется, что мы стоим на месте. Нам следует сосредоточиться на решении основополагающих проблем, потому что технологии постоянно меняются». Если вы хотите в совершенстве освоить Microsoft Windows, обязательно прочитайте то, что пишет Сьюзен Брэдли.

Информация о Сьюзен Брэдли

Более подробную информацию о Сьюзен Брэдли смотрите по ссылкам:

• блог Сьюзен Брэдли на сайте Computer World: https://www.computerworld.com/author/Susan-Bradley/;

• блог Сьюзен Брэдли на сайте AskWoody: https://www.askwoody.com/author/sb/.

11. Профиль: Марк Руссинович

Никто не в состоянии изучить Microsoft Windows целиком. Это десятки миллионов строк кода. Но за два десятилетия Марку Руссиновичу, техническому директору Microsoft Azure, удалось приблизиться к этой цели. Руководители компаний (главный исполнительный директор, директор по информационным технологиям и т. д.) редко углубляются в технологические нюансы. Руссинович в этом отношении скорее исключение. Мало кто может сравниться с ним по широте знаний, касающихся той или иной функции. Анализ кода делает Марка по-настоящему счастливым. Я отметил это во время нашего интервью, и он сказал: «Технологические нюансы – это именно то, что мною движет!»

Я знаю Руссиновича уже почти 20 лет. Долгое время он руководил двумя компаниями, занимающимися разработкой программного обеспечения. Одной из них была коммерческая компания Winternals, а второй – некоммерческая Sysinternals, производившая бесплатное ПО. Продукты обеих компаний были очень популярны среди технарей. В конце концов, Microsoft приобрела их, и Марк стал работать в одном из подразделений корпорации. На сайте https://docs.microsoft.com/ru-ru/sysinternals/ представлены интересные утилиты, которые он создал и которые компания Microsoft по-прежнему поддерживает и обновляет. Руссинович всегда был технарем до мозга костей, не боящимся открытой полемики вокруг результатов своих технических расследований.

Я хорошо помню, как обедал с ним в ресторане в 2005 году (ни один из нас тогда не был сотрудником Microsoft), когда разгорелся скандал в связи с обнаруженным им руткитом Sony BMG. Руссинович выяснил, что при вставке музыкального компакт-диска Sony в дисковод компьютера под управлением ОС Windows тайно устанавливалось два программных решения для управления цифровыми правами (DRM). Это ПО было сложно удалить, и его частичная установка происходила даже в том случае, если пользователь не принимал условия лицензионного соглашения (EULA). Оно не только мешало системе Windows осуществлять операции с компактами-дисками, но и содержало уязвимости, которыми в итоге воспользовались вредоносные программы.

Руссинович наткнулся на программу Sony, когда тестировал свое приложение для поиска руткитов – Rootkitrevealer. Для сокрытия следов своего присутствия руткит определенным образом модифицирует операционную систему. Руссинович уподобил действия DRM-программы Sony действиям вредоносного руткита, что было весьма громким заявлением для того времени. По сути, он обвинил крупную компанию в неэтичном поведении. Его оригинальный пост можно найти по адресу: https://techcommunity.microsoft.com/t5/windows-blog-archive/sony-rootkits-and-digital-rights-management-gone-too-far/ba-p/723442.

Эта история облетела все СМИ, и репутация Sony была существенно подпорчена. Сначала представители компании заявляли, что ее действия были нормальными и приемлемыми, но после волны общественного возмущения они признали вину и предложили специальный инструмент для деинсталляции ПО. В конце концов, компания отозвала соответствующие компакт-диски и предложила компенсацию. К сожалению, и с деинсталятором возникли проблемы. За этим последовали коллективные иски и правительственные расследования. Подробнее об этом скандале можно прочитать по адресу https://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal. Расследование Руссиновича, вызвавшее общественный резонанс, стало предупреждением для всех разработчиков ПО, что позволило минимизировать количество случаев установки программ без ведома пользователя.

И это только малая часть заслуг Руссиновича. Помимо всего прочего он занимается преподаванием и часто выступает на конференциях с лекциями, содержащими огромное количество технических подробностей. Те из выступающих, кому доводилось соревноваться с ним за признание публики, знают, что максимальный результат, на который они могут рассчитывать, – это второе место. Он стал автором и соавтором множества книг (https://www.amazon.com/Mark-E.-Russinovich/e/B001IGNICC/), в том числе ставшего бестселлером триллера на тему кибербезопасности. Тот факт, что его истории о киберармагеддоне могут произойти в реальности или уже происходят, делает их не менее пугающими, чем романы Стивена Кинга. Руссинович получил докторскую степень в области компьютерной инженерии в Университете Карнеги-Меллона в 1994 году, а в 1996 году начал работать в компании Microsoft.

В настоящее время Руссинович – одна из самых значимых фигур в Microsoft. Благодаря ему компания совершила множество технологических прорывов. Он сыграл важную роль в ускорении и обеспечении безопасности самых последних версий операционных систем Microsoft, и теперь отвечает за облачный сервис компании. Помимо того, что Марк стал техническим директором Microsoft Azure, он имеет звание Microsoft Technical Fellow, которое присуждается только людям, оказавшим значительное влияние на компанию Microsoft и мир в целом. По иронии судьбы более двадцати лет назад, в 1997 году, руководство Microsoft чуть не добилось увольнения Руссиновича из компании, в которой он в то время работал.

Будучи сотрудником компании Open Systems Resources, Руссинович работал над программным обеспечением для Windows NT 3.51. В процессе подробного изучения внутреннего устройства системы он обнаружил, что изменение одного ключа реестра позволяет превратить Windows NT из ОС для рабочей станции в серверную ОС. Он пояснил: «На самом деле там были две записи реестра: одна называлась ProductType, а вторая, закодированная, использовалась для обнаружения изменения первой. Эта запись реестра затрагивала 12 системных параметров, которые буквально превращали Windows в ОС для сервера или для рабочей станции. И я написал статью по этому поводу для журнала Windows IT Pro (https://www.itprotoday.com/windows-78/inside-windows-nt-registry)». Ее краткое изложение можно найти по адресу: http://www.landley.net/history/mirror/ms/differences_nt.html.

Я хорошо помню эту статью. Тогда я только начинал профессионально писать, и один из редакторов журнала предложил мне выступить в качестве технического редактора этой статьи. Еще до ее публикации все понимали, что компания Microsoft, скорее всего, будет очень недовольна, потому что она позиционировала Windows NT Workstation и Windows NT Server как два совершенно разных, хоть и похожих продукта, причем последняя версия стоила значительно дороже.

Помню, что до меня доходили слухи об увольнении Руссиновича в связи с публикацией. Когда я спросил его, действительно ли Microsoft добилась своего, он сказал: «Они, конечно, не обрадовались, но никто меня не увольнял. Правда, Microsoft надавила на руководство Open System Resources, и из-за этого я был вынужден покинуть компанию. Я устроился в IBM Research, но у меня всегда были друзья в Microsoft, и со многими другими сотрудниками компании я поддерживал хорошие отношения. Меня по-прежнему приглашали рассказывать о внутреннем устройстве Microsoft Windows, и я продолжал писать книги на эту тему. Мне даже несколько раз предлагали работу в Microsoft. В конце концов, они приобрели меня вместе с компаниями Winternals и Sysinternals, в которых в то время работало по 85 сотрудников». Остальное уже история.

Сегодня Руссинович развивает технологическое направление Microsoft Azure, стараясь сделать платформу более функциональной, быстрой и безопасной. В последнее время он много работает с контейнерами и микросервисами. Контейнеризация – это форма виртуализации, популяризованная проектом Docker (www.docker.com). Контейнеры появились из ниоткуда, и кое-кто видел в них угрозу крупным поставщикам решений для виртуализации (например, Amazon, Google, Microsoft и VMware). Однако Microsoft приняла контейнерную технологию, и под руководством Руссиновича платформа Azure превратилась в один из крупнейших в мире сервисов контейнеризации.

На мой вопрос о том, способствуют ли контейнеры обеспечению информационной безопасности, он сказал: «Это зависит от того, что вы называете контейнером, и от сценария сборки его образа. В некоторых случаях контейнеры слегка облегчают процесс обеспечения информационной безопасности. Фактически они не имеют состояния, что мешает злоумышленнику закрепиться во взломанной системе. Но в то же время, если уязвимость, позволившая хакеру проникнуть в систему в первый раз, не была устранена, то он с легкостью сможет снова получить к ней доступ. А если в первый раз злоумышленник сумел взломать систему, сохраняющую состояния, например SQL-сервер, то его не остановит и перезагрузка контейнера. Один из недостатков контейнеров, особенно если речь идет о Docker-образах, – это наслаивание множества контейнеров при создании одного приложения или сервиса. И если вы захотите исправить или обновить код одного Docker-образа, то из-за существующих зависимостей вам придется пересобрать все остальные связанные с ним образы. Это многократно усложняет процесс исправления и пересборки, и именно в этой сложности заключается один из недостатков контейнеризации».

В завершение интервью я спросил Руссиновича, что бы он порекомендовал всем тем, кто задумывается о карьере в сфере ИБ. Опираясь на собственный опыт, он посоветовал: «Вы должны стать экспертом во всем, что касается систем, которые собираетесь защищать. Вы должны понимать их внутреннее устройство и принципы их взаимодействия, включая процедуры проверки подлинности, политики, мониторинг и сегментацию сети. Первым делом вам необходимо глубоко ознакомиться с программным обеспечением или самой платформой. После этого следует рассмотреть интересующую систему под разными углами. Каждая точка зрения раскрывает разные аспекты одного и того же предмета, что помогает гораздо лучше разобраться в том, что вам предстоит защищать».

Информация о Марке Руссиновиче

Более подробная информация о Марке Руссиновиче содержится на следующих ресурсах:

• Марк Руссинович в «Википедии»: https://en.wikipedia.org/wiki/Mark_Russinovich;

• книги Марка Руссиновича: https://www.amazon.com/Mark-E.-Russinovich/e/B001IGNICC/;

• веб-сайт Марка Руссиновича: http://markrussinovich.com/;

• Марк Руссинович в Twitter: https://twitter.com/markrussinovich;

• блог Марка Руссиновича на сайте Microsoft: https://azure.microsoft.com/ru-ru/blog/author/markruss/;

• крутые утилиты Марка Руссиновича: https://docs.microsoft.com/en-us/sysinternals/.

12. Криптография

Бо́льшая часть технологий в сфере информационной безопасности касается криптографии. Криптография существует уже целую вечность и будет существовать еще долго после того, как мы покинем планету Земля в поисках других гостеприимных планет. Криптография – это отрасль ИБ, которая мне больше всего нравится, хотя после почти трех десятилетий увлечения ею я не считаю себя экспертом в этой области.

Что такое криптография?

В цифровом мире криптография – это использование последовательностей единиц и нулей для шифрования или верификации цифрового контента. Она включает в себя использование математических формул (называемыми шифрами) наряду с единицами и нулями (называемых криптографическими ключами) для предотвращения несанкционированного доступа людей к конфиденциальному контенту или для аутентификации другого человека или легитимного контента.

Самый простой пример шифрования, который я могу привести, – это когда некоторое незашифрованное содержимое преобразуется в зашифрованное представление перемещением букв алфавита на одну позицию (например, А становится Б, Б становится В, В становится Г и так далее, пока Я не станет А). Таким образом, МОЗГ становится НПИД-ом. Дешифровщик может повернуть процесс вспять и отобразить исходный открытый текст. В этом примере шифр – это математика, которая в данном случае касается операций сложения или вычитания, а ключом служит единица. Как бы прост ни был этот шифр, его использовали на протяжении многих лет, несмотря на то что его легко дешифровать.

В современном цифровом мире криптографические ключи обычно имеют размер не менее 128 бит, если не больше. В зависимости от шифра ключ может быть длиннее, хотя, если алгоритмы устойчивы к криптоатакам, обычно самые длинные из них составляют 4096 бит. Если вам встречаются ключи еще больше, это указывает на слабые алгоритмы или кого-то, кто не очень хорошо знает криптографию (или пытается продать эти коды людям, которые в этом не сильны).

Почему злоумышленники не могут просто подобрать все возможные ключи?

Люди, которые не знакомы с криптографией, не понимают, почему хакеры не пробуют все возможные комбинации единиц и нулей, которые могут быть применены в результате определенного размера ключа. Не мог ли кто-то с очень быстрым компьютером подобрать все возможные комбинации? Нет. Даже размер современного ключа в 2000 бит устойчив против «перебора грубой силой». Мало того что для этого не существует достаточно мощного компьютера, но даже если бы вы использовали все компьютеры в мире, которые уже изобрели или изобретут в будущем, им все равно не хватило бы мощности (по крайней мере, до тех пор, пока квантовые вычисления не станут реальностью). Следовательно, взлом криптографических средств связан с утечками или слабыми алгоритмами. Криптографические алгоритмы, мягко говоря, сложны, и то, что первоначально может выглядеть непобедимой математикой, часто оказывается полным недостатков, которые позволяют быстро взломать систему. Вот почему стандарты шифрования и размеры ключей постоянно меняются, поскольку старые шифры ослабевают, а новые, более устойчивые, появляются.