Вступ

Атакана комп'ютерну систему - це дія, що робиться зловмисником, яка полягає у пошуку та використанні тієї чи іншої вразливості. Таким чином, атака – це реалізація загрози. Зауважимо, що таке тлумачення атаки (за участю людини, яка має злий намір), виключає присутній у визначенні загрози елемент випадковості, але, як показує досвід, часто буває неможливо розрізнити навмисні та випадкові дії, і хороша система захисту має адекватно реагувати на будь-яку з них .

Загроза розкриттяполягає в тому, що інформація стає відомою тому, кому не слід її знати. У термінах комп'ютерної безпеки загроза розкриття має місце кожного разу, коли отримано доступ до деякої конфіденційної інформації, що зберігається в обчислювальній системі або передається від однієї до іншої. Іноді замість слова "розкриття" використовуються терміни "крадіжка" або "витік".

Загроза цілісностівключає будь-яке навмисне зміна (модифікацію або навіть видалення) даних, що зберігаються в обчислювальній системі або передаються з однієї системи в іншу. Зазвичай вважається, що загрозу розкриття схильні переважно державні структури, а загрозу цілісності - ділові чи комерційні.

Загроза відмови в обслуговуваннівиникає щоразу, коли в результаті деяких дій блокується доступ до деякого ресурсу обчислювальної системи. Реально блокування може бути постійним, так щоб запитуваний ресурс ніколи не був отриманий, або воно може викликати тільки затримку ресурсу, що запитується, досить довгу для того, щоб він став марним. У таких випадках кажуть, що ресурс вичерпано.

Типовими загрозами серед Інтернету є:

· Збій у роботі однієї з компонентів мережі. Збій через помилки при проектуванні або помилки обладнання або програм може призвести до відмови в обслуговуванні або компрометації безпеки через неправильне функціонування одного з компонентів мережі. Вихід з ладу брандмауера або помилкові відмови в авторизації серверами автентифікації є прикладами збоїв, які впливають на безпеку.

· Сканування інформації. Неавторизований перегляд критичної інформації зловмисниками або авторизованими користувачами може відбуватися з використанням різних механізмів - електронного листаз неправильним адресатом, роздруківка принтера, неправильно налаштовані списки керування доступом, спільне використання кількома людьми одного ідентифікатора і т.д.

· Використання інформації не за призначенням - використання інформації для цілей, відмінних від авторизованих, може призвести до відмови в обслуговуванні, зайвих витрат, втрати репутації. Винуватцями цього може бути як внутрішні, і зовнішні користувачі.

· Маскарад - спроби замаскуватися під авторизованого користувачадля крадіжки сервісів або інформації, або для ініціації фінансових транзакцій, які призведуть до фінансових втрат чи проблем для організації.

1. Виявлення атак

Історично так склалося, що технології, якими будуються системи виявлення атак, прийнято умовно ділити на дві категорії: виявлення аномальної поведінки (anomaly detection) і виявлення зловживань (misuse detection). Однак у практичній діяльності застосовується інша класифікація, що враховує принципи практичної реалізації таких систем: виявлення атак лише на рівні мережі (network-based) і лише на рівні хоста (host-based). Перші системи аналізують мережевий трафік, тоді як другі - реєстраційні журнали операційної системи чи програми. Кожен із класів має свої переваги та недоліки, але про це трохи пізніше. Необхідно зауважити, що лише деякі системи виявлення атак можуть бути однозначно віднесені до одного із названих класів. Як правило, вони включають можливості декількох категорій. Проте ця класифікація відбиває ключові можливостіщо відрізняють одну систему виявлення атак від іншої.

В даний момент технологія виявлення аномалій не набула широкого поширення, і в жодній системі, що комерційно розповсюджується, вона не використовується. Пов'язано це з тим, що дана технологія гарно виглядає теоретично, але дуже важко реалізується на практиці. Зараз, однак, намітилося поступове повернення до неї (особливо в Росії), і можна сподіватися, що незабаром користувачі зможуть побачити перші комерційні системи виявлення атак, що працюють за цією технологією.

Інший підхід до виявлення атак - виявлення зловживань, яке полягає в описі атаки у вигляді шаблону (pattern) або сигнатури (signature) і пошуку даного шаблону в контрольованому просторі (трафіку мережі або журналі реєстрації). Антивірусні системиє яскравим прикладом системи виявлення атак, що працює за цією технологією.

Як вже було зазначено вище, існує два класи систем, які виявляють атаки на мережному та операційному рівні. Принципова перевага мережевих (network-based) систем виявлення атак полягає в тому, що вони ідентифікують напади перш, ніж ті досягнуть вузла, що атакується. Ці системи більш прості для розгортання в великих мережах, тому що не вимагають встановлення на різні платформи, які використовуються в організації. У Росії її найбільшого поширення набули операційні системи MS-DOS, Windows 95, NetWare і Windows NT. Різні діалекти UNIX у нас поки що не настільки поширені, як у Заході. Крім того, системи виявлення атак на рівні мережі практично не знижують продуктивність мережі.

Системи виявлення атак лише на рівні хоста створюються до роботи під керівництвом конкретної операційної системи, що накладає ними певні обмеження. Наприклад, мені не відома жодна система цього класу, що функціонує під керуванням MS-DOS або Windows for Workgroups (але ж ці операційні системи ще досить поширені в Росії). Використовуючи знання того, як має «поводитися» операційна система, кошти, побудовані з урахуванням цього підходу, іноді можуть виявити вторгнення, що пропускаються мережевими засобами виявлення атак. Однак найчастіше це досягається дорогою ціною, тому що постійна реєстрація, необхідна для виконання подібного виявлення, істотно знижує продуктивність хоста, що захищається. Такі системи сильно завантажують процесор і вимагають великих обсягів дискового простору для зберігання журналів реєстрації та, в принципі, не застосовні для висококритичних систем, що працюють у режимі реального часу (наприклад, система Операційний день банку або система диспетчерського управління). Однак, незважаючи ні на що, ці підходи можуть бути застосовані для захисту вашої організації. Якщо ви бажаєте захистити один або кілька вузлів, то системи виявлення атак на рівні хоста можуть стати непоганим вибором. Але якщо ви хочете захистити більшу частину мережевих вузлів організації, то системи виявлення атак на рівні мережі, ймовірно, будуть найкращим вибором, оскільки збільшення кількості вузлів в мережі ніяк не позначиться на рівні захищеності, що досягається за допомогою системи виявлення атак. Вона зможе без додаткового налаштуваннязахищати додаткові вузли, у той час як у разі застосування системи, що функціонує на рівні хостів, знадобиться її встановлення та налаштування на кожен хост, що захищається. Ідеальним рішенням стала б система виявлення атак, що поєднує в собі обидва ці підходи.

Існуючі сьогодні на ринку комерційні системи виявлення атак (Intrusion Detection Systems, IDS) використовують для розпізнавання та відображення атак або мережевий, або системний підхід. У будь-якому випадку ці продукти шукають сигнатури атак, специфічні шаблони, які зазвичай вказують на ворожі чи підозрілі дії. У разі пошуку цих шаблонів у мережевому трафіку, IDS працює на мережевому рівні. Якщо IDS шукає сигнатури атак у журналах реєстрації операційної системи чи програми, це Системний рівень. Кожен підхід має свої переваги та недоліки, але вони обидва доповнюють один одного. Найбільш ефективною є система виявлення атак, яка використовує у своїй роботі обидві технології. У цьому матеріалі обговорюються відмінності у методах виявлення атак на мережевому та системному рівнях з метою демонстрації їх слабких та сильних сторін. Також описуються варіанти застосування кожного із способів найбільш ефективного виявлення атак.

1.1. Виявлення атак на мережевому рівні

Системи виявлення атак мережного рівня використовують як джерело даних для аналізу необроблені (raw) мережеві пакети. Як правило, IDS мережного рівня використовують мережний адаптер, що функціонує в режимі "прослуховування" (promiscuous), та аналізують трафік у реальному масштабі часу в міру його проходження через сегмент мережі. Модуль розпізнавання атак використовує чотири широко відомих методудля розпізнавання сигнатури атаки:

o Відповідність трафіку шаблону (сигнатурі), виразу або байткоду, що характеризують про атаку або підозрілу дію;

o Контроль частоти подій чи перевищення порогової величини;

o Кореляція кількох подій із низьким пріоритетом;

o Виявлення статистичних аномалій.

Як тільки атака виявлена, модуль реагування надає широкий набір варіантів сповіщення, видачі сигналу тривоги та реалізації контрзаходів у відповідь на атаку. Ці варіанти змінюються від системи до системи, але, як правило, включають: повідомлення адміністратора через консоль або електронною поштою, завершення з'єднання з атакуючим вузлом та/або запис сесії для подальшого аналізу та збору доказів.

1.2. Виявлення атак на системному рівні

На початку 80-х років, ще до того, як мережі отримали свій розвиток, найбільш поширена практика виявлення атак полягала в перегляді журналів реєстрації щодо наявності в них подій, що свідчать про підозрілі активності. Сучасні системи виявлення атак системного рівня залишаються потужним інструментом для розуміння вже здійснених атак та визначення відповідних методів для усунення можливостей їхнього майбутнього застосування. Сучасні IDS системного рівня, як і раніше, використовують журнали реєстрації, але вони стали більш автоматизованими і включають найскладніші методивиявлення, засновані на новітніх дослідженняху галузі математики. Як правило, IDS системного рівня контролюють систему, події та журнали реєстрації подій безпеки (security log або syslog) у мережах, що працюють під керуванням Windows NT чи Unix. Коли якийсь із цих файлів змінюється, IDS порівнює нові записи з сигнатурами атак, щоб перевірити, чи є відповідність. Якщо таке відповідність знайдено, то система посилає адміністратору сигнал тривоги чи приводить у дію інші механізми реагування.

IDS системного рівня постійно розвиваються, поступово включаючи нові і нові методи виявлення. Один з таких популярних методів полягає у перевірці контрольних сум ключових системних та виконуваних файлів через регулярні інтервали часу щодо несанкціонованих змін. Своєчасність реагування безпосередньо з частотою опитування. Деякі продукти прослуховують активні порти і повідомляють адміністратора, коли хтось намагається отримати доступ до них. Такий тип виявлення вносить операційне середовище елементарний рівень виявлення атак на мережному рівні.

1.3. Переваги систем виявлення атак на мережевому рівні

IDS мережного рівня мають багато переваг, які відсутні в системах виявлення атак на системному рівні. Насправді, багато покупців використовують систему виявлення атак мережного рівня через її низьку вартість та своєчасне реагування. Нижче наведено основні причини, які роблять систему виявлення атак на мережевому рівні найважливішим компонентом ефективної реалізації політики безпеки.

1. Низька вартість експлуатації. IDS мережного рівня необхідно встановлювати в найважливіших місцях мережі для контролю трафіку, що циркулює між численними системами. Системи мережного рівня не вимагають, щоб кожному хості встановлювалося програмне забезпечення системи виявлення атак. Оскільки для контролю всієї мережі кількість місць, в яких встановлені IDS невелика, вартість їх експлуатації в мережі підприємства нижче, ніж вартість експлуатації систем виявлення атак на системному рівні.

2. Виявлення атак, що пропускаються на системному рівні. IDS мережевого рівня вивчають заголовки мережевих пакетів на наявність підозрілої чи ворожої діяльності. IDS системного рівня не працюють із заголовками пакетів, отже вони не можуть визначати ці типи атак. Наприклад, багато атак мережі типу "відмова в обслуговуванні" ("denial-of-service") і "фрагментований пакет" (TearDrop) можуть бути ідентифіковані тільки шляхом аналізу заголовків пакетів, у міру того, як вони проходять через мережу. Цей тип атак може бути швидко ідентифікований за допомогою IDS мережного рівня, який переглядає трафік у реальному масштабі часу. IDS мережного рівня можуть досліджувати вміст тіла даних пакета, відшукуючи команди чи певний синтаксис, які у конкретних атаках. Наприклад, коли хакер намагається використовувати програму Back Orifice на системах, які поки що не вражені нею, цей факт може бути виявлений шляхом дослідження саме вмісту тіла даних пакета. Як говорилося вище, системи системного рівня не працюють на мережному рівні, і тому не здатні розпізнавати такі атаки.

3. Для хакера важче видалити сліди своєї присутності. IDS мережного рівня використовують "живий" трафік при виявленні атак у реальному масштабі часу. Таким чином, хакер не може видалити слідів своєї присутності. Аналізовані дані включають не тільки інформацію про метод атаки, але й інформацію, яка може допомогти при ідентифікації зловмисника та доказі в суді. Оскільки багато хакерів добре знайомі з журналами реєстрації, вони знають, як маніпулювати цими файлами для приховання слідів своєї діяльності, знижуючи ефективність систем системного рівня, яким потрібна ця інформація для того, щоб виявити атаку.

4. Виявлення та реагування в реальному масштабі часу. IDS мережевого рівня виявляють підозрілі та ворожі атаки ЗА МЕРОЮ ТОГО, ЯК ВОНИ ВІДБУВАЮТЬСЯ, і тому забезпечують набагато швидше сповіщення та реагування, ніж IDS системного рівня. Наприклад, хакер, який ініціює атаку мережного рівня типу "відмова в обслуговуванні" на основі протоколу TCP, може бути зупинений IDS мережного рівня, що посилає встановлений прапор Reset в заголовку TCP-пакета для завершення з'єднання з атакуючим вузлом, перш ніж атака викличе руйнування або пошкодження атакованого хоста. IDS системного рівня, як правило, не розпізнають атаки до моменту відповідного запису в журнал і роблять дії у відповідь вже після того, як був зроблений запис. До цього моменту найбільше важливі системиабо ресурси можуть бути скомпрометовані або порушена працездатність системи, що запускає IDS системного рівня. Повідомлення у реальному масштабі часу дозволяє швидко зреагувати відповідно до попередньо визначених параметрів. Діапазон цих реакцій змінюється від дозволу проникнення в режимі спостереження для того, щоб зібрати інформацію про атаку та атакуючого, до негайного завершення атаки.

5. Виявлення невдалих атак чи підозрілих намірів. IDS мережного рівня, встановлена ​​із зовнішнього боку міжмережевого екрана (МСЕ), може виявляти атаки, націлені ресурси за МСЕ, навіть попри те, що МСЕ, можливо, відобразить ці спроби. Системи системного рівня не бачать відбитих атак, що не досягають хоста за МСЕ. Ця втрачена інформація може бути найважливішою при оцінці та вдосконаленні політики безпеки.

6. Незалежність від ОС. IDS мережного рівня не залежить від операційних систем, встановлених у корпоративній мережі. Системи виявлення атак на системному рівні вимагають конкретних ОС для правильного функціонування та генерації необхідних результатів.

1.4. Переваги систем виявлення атак системного рівня

І хоча системи виявлення атак системного рівня не настільки швидкі, як їх аналоги мережного рівня, вони пропонують переваги, яких не мають останні. До цих переваг можна віднести суворіший аналіз, пильну увагу до даних про подію на конкретному хості і нижча вартість впровадження.

1. Підтверджують успіх чи відмову атаки. Оскільки IDS системного рівня використовують журнали реєстрації, що містять дані про події, які дійсно мали місце, то IDS цього класу високою точністювизначати – чи справді атака була успішною чи ні. У цьому відношенні IDS системного рівня забезпечують чудове доповнення до систем виявлення атак мережного рівня. Таке об'єднання забезпечує раннє попередження за допомогою мережного компонента та "успішність" атаки за допомогою системного компонента.

2. Контролює діяльність конкретного сайту. IDS системного рівня контролює діяльність користувача, доступ до файлів, зміни прав доступу до файлів, спроби встановлення нових програм та/або спроби отримати доступ до привілейованих сервісів. Наприклад, IDS системного рівня може контролювати всю logon- та logoff-діяльність користувача, а також дії, що виконуються кожним користувачем при підключенні до мережі. Для системи мережного рівня дуже важко забезпечити такий рівень деталізації подій. Технологія виявлення атак на системному рівні може контролювати діяльність, яка зазвичай ведеться лише адміністратором. Операційні системи реєструють будь-яку подію, при якій додаються, видаляються або змінюються облікові записи користувачів. IDS системного рівня можуть виявляти відповідну зміну відразу, як вона відбувається. IDS системного рівня можуть також проводити аудит змін політики безпеки, які впливають на те, як системи здійснюють відстеження у своїх журналах реєстрації тощо.

Зрештою, системи виявлення атак на системному рівні можуть контролювати зміни в ключових системних файлах або виконуваних файлах. Спроби перезаписати такі файли або інсталювати "троянських коней" можуть бути виявлені та припинені. Системи мережного рівня іноді упускають такий тип діяльності.

3. Виявлення атак, які упускають системи мережевого рівня. IDS системного рівня можуть виявляти атаки, які можуть бути виявлені засобами мережного рівня. Наприклад, атаки, що здійснюються з сервера, що атакується, не можуть бути виявлені системами виявлення атак мережевого рівня.

4. Добре підходить для мереж із шифруванням та комутацією. Оскільки IDS системного рівня встановлюється на різних хостах мережі підприємства, вона може подолати деякі проблеми, що виникають при експлуатації систем мережевого рівня в мережах з комутацією та шифруванням.

Комутація дозволяє керувати великомасштабними мережами, як кількома невеликими мережевими сегментами. В результаті буває важко визначити найкраще місце для встановлення IDS мережного рівня. Іноді можуть допомогти адміністративні порти (managed ports) та порти відображення (mirror ports, span ports) трафіку на комутаторах, але ці методи не завжди застосовні. Виявлення атак на системному рівні забезпечує більш ефективну роботу в мережах, що комутуються, т.к. дозволяє розмістити IDS тільки на вузлах, на яких це необхідно.

Певні типи шифрування також є проблемами для систем виявлення атак мережного рівня. Залежно від того, де здійснюється шифрування (канальне або абонентське), IDS мережного рівня може залишитися "сліпим" до певних атак. IDS системного рівня немає цього обмеження. До того ж ОС, і, отже, IDS системного рівня, аналізує розшифрований вхідний трафік.

5. Виявлення та реагування майже в реальному масштабі часу. Хоча виявлення атак на системному рівні не забезпечує реагування в дійсно реальному масштабі часу, воно, при правильної реалізації, може бути здійснено майже реальному масштабі. На відміну від застарілих систем, які перевіряють статус та зміст журналів реєстрації через заздалегідь визначені інтервали, багато сучасних IDS системного рівня отримують переривання від ОС, як тільки з'являється новий запис у журналі реєстрації. Цей новий запис може бути оброблений відразу, значно зменшуючи час між розпізнаванням атаки і реагуванням на неї. Залишається затримка між моментом запису операційною системою події в журнал реєстрації і моментом розпізнавання її системою виявлення атак, але в багатьох випадках зловмисник може бути виявлений і зупинений, перш ніж завдасть будь-якої шкоди.

6. Чи не вимагають додаткових апаратних засобів. Системи виявлення атак на системному рівні встановлюються на існуючу мережну інфраструктуру, включаючи файлові сервери, Web-сервера та інші ресурси. Така можливість може зробити IDS системного рівня дуже ефективними за вартістю, тому що вони не вимагають ще одного вузла мережі, якому необхідно приділяти увагу, здійснювати технічне обслуговування та керувати ним.

7. Низька ціна. Незважаючи на те, що системи виявлення атак мережевого рівня забезпечують аналіз трафіку всієї мережі, дуже часто вони досить дорогі. Вартість однієї системи виявлення атак може перевищувати $10 000. З іншого боку, системи виявлення атак на системному рівні коштують сотні доларів за один агент і можуть купуватись покупцем у разі потреби контролювати лише деякі вузли підприємства, без контролю мережевих атак.

1.5. Необхідність в обох системах виявлення атак мережного та системного рівнів

Обидва рішення: IDS і мережевого, і системного рівнів мають свої переваги та переваги, які ефективно доповнюють один одного. Наступне покоління IDS, таким чином, повинно включати інтегровані системні та мережеві компоненти. Комбінування цих двох технологій значно покращить опір мережі до атак та зловживань, дозволить посилити політику безпеки та внести велику гнучкість у процес експлуатації мережевих ресурсів.

Малюнок, наведений нижче, ілюструє те, як взаємодіють методи виявлення атак на системному та мережному рівнях при створенні більш ефективної системи мережевого захисту. Одні події виявляються лише за допомогою мережевих систем. Інші – лише за допомогою системних. Деякі вимагають застосування обох типів виявлення атак для надійного виявлення.

Рис.1. У сприяння метотодів виявлення атак на системному та мережному рівнях

1.6. Список вимог до систем виявлення атак
наступного покоління

Характеристики для систем виявлення атак наступного покоління:

1. Можливості виявлення атак на системному та мережному рівні, інтегровані в єдину систему.

2. Спільно використовувана консоль управління з несуперечливим інтерфейсом для конфігурації продукту, політики управління та відображення окремих подій як з системних, так і з мережевих компонентівсистеми виявлення атак.

3. Інтегрована база даних подій.

4. Інтегрована система створення звітів.

5. Можливості здійснення кореляції подій.

6. Інтегрована онлайнова допомога для реагування на інциденти.

7. Уніфіковані та несуперечливі процедури інсталяції.

8. Додавання можливості контролю над власними подіями.

У четвертому кварталі 1998 року вийшла RealSecureT версії 3.0, яка відповідає усім цим вимогам.

· Модуль стеження RealSecure - виявляє атаки на мережному рівні мережах Ethernet, Fast Ethernet, FDDI та Token Ring.

· Агент RealSecure – виявляє атаки на серверах та інших системних пристроях.

· Менеджер RealSecure - консоль управління, яка забезпечує конфігурацію модулів стеження та агентів RealSecure та поєднує аналіз мережевого трафіку та системних журналів реєстрації в реальному масштабі часу.

2. Атаками весь світ наповнюється

Для захисту від різноманітних атак можна застосувати дві стратегії. Перша полягає у придбанні найбільш розхвалюваних (хоча не завжди найкращих) систем захисту від усіх можливих видів атак. Цей метод дуже простий, але вимагає великих фінансових вливань. Жоден домашній користувач або навіть керівник організації не піде на це. Тому зазвичай використовується друга стратегія, яка полягає у попередньому аналізі можливих загроз та подальшому виборі засобів захисту від них.

Аналіз загроз або аналіз ризику також може здійснюватися двома шляхами. Складний, проте ефективніший спосіб у тому, що, перш ніж обирати найімовірніші загрози, здійснюється аналіз інформаційної системи, оброблюваної у ній інформації, використовуваного програмно-апаратного забезпечення тощо. Це дозволить суттєво звузити спектр потенційних атак і тим самим підвищити ефективність вкладення грошей у засоби захисту, що купуються. Однак такий аналіз вимагає часу, коштів і, що найголовніше, високої кваліфікації фахівців, які проводять інвентаризацію мережі, що аналізується. Небагато компаній, не кажучи вже про домашніх користувачів, можуть дозволити собі піти таким шляхом. Що ж робити? Можна зробити вибір засобів захисту на основі так званих стандартних загроз, тобто тих, які найпоширеніші. Незважаючи на те, що деякі властиві системі загрози, що захищається, можуть залишитися без уваги, більша частина з них все ж потрапить в окреслені рамки. Які ж види загроз та атак є найпоширенішими? Відповіді це питання і присвячена дана стаття. Щоб дані були більш точні, я використовуватиму статистику, отриману з різних джерел.

Цифри, цифри, цифри...

Хто ж найчастіше вчиняє комп'ютерні злочини та реалізує різні атаки? Які загрози найпоширеніші? Наведу дані, отримані найавторитетнішим у цій галузі джерелом – Інститутом комп'ютерної безпеки (CSI) та групою комп'ютерних нападів відділення ФБР у Сан-Франциско. Ці дані були опубліковані в березні 2000 року в щорічному звіті "2000 CSI/FBI Computer Crime and Security Survey". Згідно з цими даними:

· 90% респондентів (великі корпорації та державні організації) зафіксували різні атаки на свої інформаційні ресурси;

· 70% респондентів зафіксували серйозні порушення безпекової політики, наприклад віруси, атаки типу «відмова в обслуговуванні», зловживання з боку співробітників і т.д.;

· 74% респондентів зазнали чималих фінансових втрат внаслідок цих порушень.

За останні кілька років також збільшився обсяг втрат через порушення політики безпеки. Якщо 1997 року сума втрат дорівнювала 100 млн. дол., 1999-го 124 млн., то 2000-го ця цифра зросла до 266 млн. дол.. Розмір втрат від атак типу «відмова в обслуговуванні» досяг 8,2 млн. дол. До інших цікавих даних можна віднести джерела атак, типи поширених атак та розміри втрат від них.

Інше авторитетне джерело – координаційний центр CERT – також підтверджує ці дані. Крім того, згідно з зібраними ним даними, зростання числа інцидентів, пов'язаних з безпекою, збігається з поширенням Інтернету.

Інтерес до електронної комерції сприятиме посиленню цього зростання у наступні роки. Відзначено й іншу тенденцію. У 80-ті - початку 90-х зовнішні зловмисники атакували вузли Internet з цікавості чи демонстрації своєї кваліфікації. Наразі атаки найчастіше переслідують фінансові чи політичні цілі. Як стверджують багато аналітиків, кількість успішних проникнень в інформаційні системи лише у 1999 році зросла вдвічі порівняно з попереднім роком (з 12 до 23%). І в 2000-му, і в 2001-му роках ця тенденція зберігається.

У цій галузі існує і російська статистика. І хоча вона неповна і, на думку багатьох фахівців, є лише верхівкою айсберга, я все ж таки наведу ці цифри. За 2000 рік, згідно з даними МВС, було зареєстровано 1375 комп'ютерних злочинів. Порівняно з 1999 роком ця цифра зросла більш ніж 1,6 разу. Дані управління боротьби з злочинами у сфері високих технологій МВС РФ (Управління «Р») показують, що найбільше злочинів - 584 від загальної кількості - належить до неправомірного доступу до комп'ютерної інформації; 258 випадків – це заподіяння майнової шкоди з використанням комп'ютерних засобів; 172 злочини пов'язано зі створенням та розповсюдженням різних вірусів, а вірніше, «шкідливих програм для ЕОМ»; 101 злочин - із серії «незаконне провадження або придбання з метою збуту технічних засобів для незаконного отриманняінформації», 210 - шахрайство із застосуванням комп'ютерних та телекомунікаційних мереж; 44 - порушення правил експлуатації ЕОМ та його мереж.

3. Як захиститися від віддалених атак у мережі Internet?

Особливість мережі Internet нині у тому, що 99% відсотків інформаційних ресурсів мережі є загальнодоступними. Віддалений доступ до цих ресурсів може здійснюватись анонімно будь-яким неавторизованим користувачем мережі. Прикладом такого неавторизованого доступу до загальнодоступних ресурсів є підключення до WWW- або FTP-серверів, якщо такий доступ дозволено.

Визначившись, яких ресурсів мережі Internet користувач має намір здійснювати доступ, необхідно відповісти на таке запитання: а чи збирається користувач дозволяти віддалений доступ з мережі до своїх ресурсів? Якщо ні, то тоді має сенс використовувати як мережну ОС "чисто клієнтську" ОС (наприклад, Windows "95 або NT Workstation), яка не містить програм-серверів, що забезпечують віддалений доступ, а, отже, віддалений доступ до даної системи у принципі неможливий, так як він просто програмно не передбачений (наприклад, ОС Windows "95 або NT, правда з одним але: під дані системи дійсно немає серверів FTP, TELNET, WWW і т. д., але не можна забувати про вбудовану в них можливість надання віддаленого доступу до файлової системи, так зване поділ (share)ресурсів. А згадавши щонайменше дивну позицію фірми Microsoft щодо забезпечення безпеки своїх систем, потрібно серйозно подумати, перш ніж зупинити вибір на продуктах цієї фірми. Останній приклад: в Internet з'явилася програма, що надає атакуючому несанкціонований віддалений доступ до файлової системи Windows NT 4.0!). Вибір клієнтської операційної системи багато в чому вирішує проблеми безпеки цього користувача (не можна отримати доступ до ресурсу, якого просто немає!). Однак у разі погіршується функціональність системи. Тут своєчасно сформулювати, на наш погляд, основну аксіому безпеки:

Аксіома безпеки. Принципи доступності, зручності, швидкодії та функціональності обчислювальної системи антагоністичні принципам її безпеки.

Дана аксіома, в принципі, очевидна: чим доступніша, зручніша, швидша і багатофункціональна ВС, тим вона менш безпечна. Прикладів можна навести масу. Наприклад, служба DNS: зручна, але небезпечна.

Повернемося до вибору користувачем мережевої клієнтської ОС. Це, до речі, один із здорових кроків, що ведуть до мережевої політики ізоляціонізму. Ця мережна політика безпеки полягає у здійсненні якнайповнішої ізоляції своєї обчислювальної системи від зовнішнього світу. Також одним із кроків до забезпечення цієї політики є, наприклад, використання систем Firewall, що дозволяють створити виділений захищений сегмент (наприклад, приватну мережу), відокремлений від глобальної мережі. Звичайно, ніщо не заважає довести цю політику мережевого ізоляціонізму до абсурду – просто висмикнути мережевий кабель (повна ізоляція від зовнішнього світу!). Не забувайте, це теж "вирішення" всіх проблем з віддаленими атаками та мережевою безпекою (у зв'язку з повною відсутністю оних).

Отже, нехай користувач мережі Internet вирішив використовувати для доступу в мережу лише клієнтську мережну ОС та здійснювати за допомогою її лише неавторизований доступ. Проблеми з безпекою вирішено? Анітрохи! Все було б добре, якби не було так погано. Для атаки "Відмова в обслуговуванні" абсолютно не має значення ні вид доступу, застосовуваний користувачем, ні тип мережної ОС (хоча клієнтська ОС з погляду захисту від атаки дещо краща). Ця атака, використовуючи фундаментальні прогалини у безпеці протоколів та інфраструктури мережі Internet, вражає мережеву ОС на хості користувача з єдиною метою - порушити його працездатність. ля атаки, пов'язаної з нав'язуванням хибного маршруту за допомогою протоколу ICMP, метою якої є відмова в обслуговуванні, ОС Windows "95 або Windows NT - найбільш ласа мета. атакуючого, який може порушити його працездатність хіба що з бажання просто нашкодити.

3.1. Адміністративні методи захисту від віддалених атак у мережі Internet

Найправильнішим кроком у цьому напрямку буде запрошення фахівця з інформаційної безпеки, який разом з вами намагатиметься вирішити весь комплекс завдань із забезпечення необхідного рівня безпеки для вашої розподіленої ПС. Це досить складне комплексне завдання, для вирішення якого необхідно визначити, що (список контрольованих об'єктів та ресурсів РВС), від чого (аналіз можливих загроз даної РВС) і як (вироблення вимог, визначення політики безпеки та вироблення адміністративних та програмно-апаратних заходів щодо забезпечення на практиці розробленої політики безпеки) захищати.

Мабуть, найпростішими та найдешевшими є саме адміністративні методи захисту від інформаційно-руйнівних впливів.

3.1.1. Як захиститись від аналізу мережевого трафіку?

Існує атака, що дозволяє кракеру за допомогою програмного прослуховування каналу передачі повідомлень у мережі перехоплювати будь-яку інформацію, якою обмінюються віддалені користувачі, якщо каналом передаються лише нешифровані повідомлення. Також можна показати, що базові прикладні протоколи віддаленого доступу TELNET і FTP не передбачають елементарного криптозахисту переданих по мережі навіть ідентифікаторів (імен) та автентифікаторів (паролей) користувачів. Тому адміністраторам мереж, очевидно, можна порекомендувати не допускати використання цих базових протоколів для надання віддаленого авторизованогодоступу до ресурсів своїх систем та вважати аналіз мережевого трафіку тією постійно присутньою загрозою, яку неможливо усунути, але можна зробити її здійснення по суті безглуздим, застосовуючи стійкі криптоалгоритми захисту IP-потоку.

3.1.2. Як захиститись від помилкового ARP-сервера?

У тому випадку, якщо у мережевої ОС відсутня інформація про відповідність IP- та Ethernet-адрес хостів усередині одного сегмента IP-мережі, даний протокол дозволяє посилати широкомовний ARP-запит на пошук необхідної Ethernet-адреси, на яку атакуючий може надіслати неправдиву відповідь, та Надалі весь трафік на канальному рівні виявиться перехопленим атакуючим і пройде через помилковий ARP-сервер. Очевидно, що для ліквідації цієї атаки необхідно усунути причину, через яку можливе її здійснення. Основна причина успіху даної віддаленої атаки – відсутність необхідної інформаціїу ОС кожного хоста про відповідні IP-і Ethernet-адреси всіх інших хостів усередині даного сегмента мережі. Таким чином, найпростішим рішенням буде створення мережевим адміністратором статичної ARP-таблиці у вигляді файлу (в ОС UNIX зазвичай /etc/ethers), куди необхідно внести відповідну інформацію про адреси. Даний файл встановлюється на кожен хост усередині сегмента, і, отже, у мережної ОС відпадає необхідність використання віддаленого ARP-пошуку.

3.1.3. Як захиститись від помилкового DNS-сервера?

Використання в мережі Internet служби DNS у її нинішньому вигляді може дозволити кракеру отримати глобальний контроль над з'єднаннями шляхом нав'язування хибного маршруту через хост кракера - хибний сервер DNS. Здійснення цієї віддаленої атаки, заснованої на потенційних уразливості служби DNS, може призвести до катастрофічних наслідків для величезної кількості користувачів Internet і стати причиною масового порушення інформаційної безпеки цієї глобальної мережі. У наступних двох пунктах пропонуються можливі адміністративні методи запобігання або утруднення даної віддаленої атаки для адміністраторів та користувачів мережі та для адміністраторів DNS-серверів.

а) Як адміністратору мережі захиститись від помилкового DNS-сервера?

Якщо відповідати це питання коротко, то ніяк. Ні адміністративно, ні програмно не можна захиститись від атаки на існуючу версію служби DNS. Оптимальним з точки зору безпеки рішенням взагалі відмовитиметься від використання служби DNS у вашому захищеному сегменті! Звичайно, зовсім відмовитись від використання імен при зверненні до хостів для користувачів буде дуже не зручно. Тому можна запропонувати таке компромісне рішення: використовувати імена, але відмовитись від механізму віддаленого DNS-пошуку. Ви правильно здогадалися, що це повернення до схеми, яка використовувалася до появи служби DNS із виділеними DNS-серверами. Тоді на кожній машині у мережі існував hostsфайл, в якому знаходилася інформація про відповідні імена та IP-адреси всіх хостів у мережі. Очевидно, що на сьогоднішній день адміністратору можна внести в подібний файл інформацію про лише найчастіше відвідувані користувачами даного сегмента сервери мережі. Тому використання на практиці цього рішеннянадзвичайно утруднено і, мабуть, нереально (що, наприклад, робити з броузерами, які використовують URL-адреси з іменами?).

Для утруднення здійснення даної віддаленої атаки можна запропонувати адміністраторам використовувати для служби DNS замість протоколу UDP, який встановлюється за замовчуванням, протокол TCP (хоча з документації не очевидно, як його змінити). Це суттєво утруднить для атакуючого передачу на хост помилкового DNS-відповіді без прийому DNS-запиту.

Загальний невтішний висновок такий: у мережі Internet під час використання існуючою версії служби DNS не існує прийнятного рішення для захисту від помилкового DNS-сервера (і не відмовишся, як у випадку з ARP, та використовувати небезпечно)!

б) Як адміністратору DNS-сервера захиститись від помилкового DNS-сервера?

Якщо відповідати на це питання коротко, то знову ж таки ніяк. Єдиним способом утруднити здійснення даної віддаленої атаки, це використовувати для спілкування з хостами та іншими DNS-серверами тільки протокол TCP, а не UDP. Тим не менш, це лише ускладнить виконання атаки - не забувайте як про можливе перехоплення DNS-запиту, так і про можливість математичного передбачення початкового значення TCP-ідентифікатора ISN.

Насамкінець можна порекомендувати для всієї мережі Internet якомога швидше перейти або до нової більш захищеної версії служби DNS, або прийняти єдиний стандарт на захищений протокол. Зробити цей перехід, незважаючи на всі колосальні витрати, просто необхідно, інакше мережа Internet може бути просто поставлена ​​на коліна перед успішними спробами порушення її безпеки за допомогою даної служби!

3.1.4. Як захиститись від нав'язування помилкового маршруту під час використання протоколу ICMP?

Атака, яка полягала у передачі на хост помилкового ICMP Redirect повідомлення про зміну вихідного маршруту призводила як до перехоплення атакуючим інформації, так і до порушення працездатності хоста, що атакується. Для того, щоб захиститися від даної віддаленої атаки, необхідно або фільтрувати повідомлення (використовуючи Firewall або фільтруючий маршрутизатор), не допускаючи його потрапляння на кінцеву систему, або відповідним чином вибирати мережну ОС, яка ігноруватиме це повідомлення. Однак зазвичай не існує адміністративних способів вплинути на мережеву ОС так, щоб заборонити їй змінювати маршрут та реагувати на це повідомлення. Єдиний спосіб, наприклад, у разі ОС Linux або FreeBSD полягає в тому, щоб змінити вихідні тексти та перекомпілювати ядро ​​ОС. Очевидно, що такий екзотичний для багатьох спосіб можливий лише для операцій, що вільно поширюються разом з вихідними текстами. Зазвичай на практиці не існує іншого способу дізнатися реакцію ОС, що використовується на ICMP Redirect повідомлення, як послати дане повідомлення і подивитися, який буде результат. Експерименти показали, що це повідомлення дозволяє змінити маршрутизацію на ОС Linux 1.2.8, Windows 95 і Windows NT 4.0. компанії Microsoftне відрізняються особливою захищеністю від можливих віддалених атак, властивих IP-мереж. Отже, використовувати дані ОС у захищеному сегменті IP-мережі є небажаним. Це і буде тим самим адміністративним рішенням щодо захисту сегменту мережі від даної віддаленої атаки.

3.1.5. Як захиститись від відмови в обслуговуванні?

Немає і не може бути прийнятних засобів захисту від відмови в обслуговуванні в існуючому стандарті IPv4 мережі Internet. Це з тим, що у цьому стандарті неможливий контроль за маршрутом повідомлень. Тому неможливо забезпечити надійний контроль за мережевими з'єднаннями, Так як у одного суб'єкта мережевої взаємодії існує можливість зайняти необмежену кількість каналів зв'язку з віддаленим об'єктом і при цьому залишитися анонімним. Через це будь-який сервер у мережі Internet може бути повністю паралізований за допомогою віддаленої атаки.

Єдине, що можна запропонувати для підвищення надійності роботи системи, що піддається даній атаці, - це використовувати якомога потужніші комп'ютери. Чим більше числоі частота роботи процесорів, що більше обсяг оперативної пам'яті, то надійнішою буде робота мережевий ОС, коли її обрушиться спрямований "шторм" хибних запитів створення з'єднання. Крім того, необхідно використання відповідних ваших обчислювальних потужностей операційних систем із внутрішньою чергою, здатною вмістити велику кількість запитів на підключення. Адже від того, що ви, наприклад, поставите на суперЕОМ операційну систему Linux або Windows NT, у яких довжина черги для запитів, що одночасно обробляються, близько 10, а тайм-аут очищення черги кілька хвилин, то, незважаючи на всі обчислювальні потужності комп'ютера, ОС буде повністю паралізована атакуючим.

3.1.6. Як захиститись від заміни однієї зі сторін при взаємодії з використанням базових протоколів сімейства TCP/IP

Як зазначалося раніше, єдиним базовимпротоколом сімейства TCP/IP, у якому спочатку передбачено функцію забезпечення безпеки з'єднання та його абонентів, є протокол транспортного рівня - протокол TCP. Що стосується базових протоколів прикладного рівня: FTP, TELNET, r-служба, NFS, HTTP, DNS, SMTP, то жоден з них не передбачає додатковий захист з'єднання на своєму рівні та залишає вирішення всіх проблем щодо безпеки з'єднання протоколу нижчого транспортного рівня - TCP. Однак, згадавши про можливі атаки на TCP-з'єднання, розглянуті в п. 4.5, де було зазначено, що при знаходженні атакуючого в одному сегменті з метою атаки захиститися від підміни одного з абонентів TCP-з'єднання в принципі неможливо, а у разі знаходження в різних сегментах через можливість математичного передбачення ідентифікатора TCP-з'єднання ISN також реальна заміна одного з абонентів, нескладно зробити висновок, що при використанні базових протоколів сімейства TCP/IP забезпечити безпеку з'єднання практично неможливо! Це відбувається через те, що, на жаль, усі базові протоколи мережі Internet з метою забезпечення інформаційної безпеки неймовірно застаріли.

Єдине, що можна порекомендувати мережним адміністраторам для захисту тільки від міжсегментних атак на з'єднання - як базовий "захищений" протокол використовувати протокол TCP і мережеві ОС, в яких початкове значення ідентифікатора TCP-з'єднання дійсно генерується випадковим чином (непоганий псевдовипадковий алгоритм генерації використовується в останніх версіяхОС FreeBSD).

3.2. Програмно-апаратні методи захисту від віддалених атак у мережі Internet

До програмно-апаратних засобів забезпечення інформаційної безпеки засобів зв'язку в обчислювальних мережах належать:

• апаратні шифратори мережного трафіку;
• методика Firewall, що реалізується на базі програмно-апаратних засобів;
• захищені мережеві криптопротоколи;
• програмно-апаратні аналізатори мережевого трафіку;
• захищені мережні ОС.

Існує безліч літератури, присвяченої цим засобам захисту, призначеним для використання в мережі Internet (за останні два роки майже в кожному номері будь-якого комп'ютерного журналу можна знайти статті на цю тему).

Далі ми, наскільки можна коротко, ніж повторювати всім добре відому інформацію, опишемо дані засоби захисту, що застосовуються в Internet. При цьому ми переслідуємо такі цілі: по-перше, ще раз повернемося до міфу про "абсолютний захист", який нібито забезпечують системи Firewall, очевидно завдяки старанням їх продавців; по-друге, порівняємо існуючі версії криптопротоколів, які застосовуються в Internet, і дамо оцінку, по суті, критичномуположення у цій галузі; і, по-третє, ознайомимо читачів з можливістю захисту за допомогою мережевого монітора безпеки, призначеного для здійснення динамічного контролю за що виникають в сегменті IP-мережі, що свідчать про здійснення на даний сегмент однієї з описаних у 4 розділі віддалених атак.

3.2.1. Методика Firewall як основний програмно-апаратний засіб здійснення мережевої політики безпеки у виділеному сегменті IP-мережі

У випадку методика Firewall реалізує такі основні три функції:

1. Багаторівнева фільтрація мережного трафіку.

Фільтрування зазвичай здійснюється на трьох рівнях OSI:

мережевому (IP);

транспортному (TCP, UDP);

прикладному (FTP, TELNET, HTTP, SMTP тощо).

Фільтрування мережевого трафіку є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, налаштувавши відповідним чином Firewall, можна дозволити або заборонити користувачам як доступ із зовнішньої мережі до відповідних служб хостів або до хостам, що знаходяться в сегменті, що захищається, так і доступ користувачів з внутрішньої мережі до відповідних ресурсів зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, який для здійснення політики безпеки в системі призначає належним чином відповідні відносини між суб'єктами (користувачами) та об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданих адміністратором прав доступу . Ті ж міркування застосовні до Firewall-фільтрації: як суб'єкти взаємодії будуть виступати IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - IP-адреси хостів, що використовуються транспортні протоколита служби надання віддаленого доступу.

2. Proxy-схема з додатковою ідентифікацією та автентифікацією користувачів на Firewall-хості.

Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію та аутентифікацію віддаленого користувачаі, по-друге, є основою створення приватних мереж з віртуальними IP-адресами. Сенс proxy-схеми полягає у створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. повноважний) на хості Firewall. На цьому proxy-сервері може здійснюватися додаткова ідентифікація абонента.

3. Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).

У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне приховати справжню топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації у зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних системроутингу (маршрутизації), тільки через які можлива зовнішня адресація. Це відбувається через те, що віртуальна IP-адреса, що використовується у внутрішній PVN-мережі, очевидно, не придатна для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, що знаходяться за межами PVN-мережі). Тому proxy-сервер або засіб роутингу має здійснювати зв'язок із абонентами із зовнішньої мережі зі своєї справжньої IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення IP-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це трапляється часто-густо, тому для створення повноцінної IP-мережі з використанням proxy-схеми достатньо лише одного виділеного IP-. адреси для proxy-сервера).

Отже, будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, є Firewall-пристроєм. Наприклад, ніщо не заважає вам використовувати як Firewall-хост комп'ютер зі звичайною ОС FreeBSD або Linux, у якій відповідним чином необхідно скомпілювати ядро ​​ОС. Firewall такого типу забезпечуватиме лише багаторівневу фільтрацію IP-трафіку. Інша річ, пропоновані над ринком потужні Firewall-комплекси, створені з урахуванням ЕОМ чи міні-ЕОМ, зазвичай реалізують все функції Firewall-мето-дики і є повнофункціональними системами Firewall. На наступному малюнку зображено сегмент мережі, відокремлений від зовнішньої мережі повнофункціональним Firewall-хостом.

Мал. 2. Узагальнена схема повнофункціонального хоста Firewall.

Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися, що Firewall це гарантія абсолютного захисту від віддалених атак в мережі Internet. Firewall - не так засіб забезпечення безпеки, як можливість централізовано здійснювати мережеву політику розмежування віддаленого доступу до доступних ресурсів вашої мережі. Так, у тому випадку, якщо, наприклад, до даному хостузаборонено віддалений TELNET-доступ, то Firewall однозначно запобігає можливості даного доступу. Але справа в тому, що більшість віддалених атак мають зовсім іншу мету (безглуздо намагатися отримати певний вид доступу, якщо він заборонений системою Firewall). Які з розглянутих віддалених атак може запобігти Firewall? Аналіз мережевого трафіку? Очевидно, ні! Помилковий ARP-сервер? І так, і ні (для захисту не обов'язково використовувати Firewall). Помилковий DNS-сервер? Ні, на жаль, Firewall вам тут не помічник. Нав'язування хибного маршруту за допомогою протоколу ICMP? Так, цю атаку шляхом фільтрації ICMP-повідомлень Firewall легко відобразить (хоча достатньо буде фільтруючого маршрутизатора, наприклад Cisco). Підміна одного із суб'єктів TCP-з'єднання? Відповідь негативна; Firewall тут абсолютно ні до чого. Порушення працездатності хоста шляхом створення направленого шторму неправдивих запитів чи переповнення черги запитів? У цьому випадку застосування Firewall лише погіршить усю справу. Атакуючому для того, щоб вивести з ладу (відрізати від зовнішнього світу) всі хости всередині захищеного Firewall-системою сегменту, достатньо атакувати лише один Firewall, а не кілька хостів (це легко пояснюється тим, що зв'язок внутрішніх хостів з зовнішнім світомможлива лише через Firewall).

аж ніяк не достатнім

З усього вищесказаного не випливає, що використання систем Firewall абсолютно безглуздо. Ні, на даний момент цій методиці (саме як методиці!) немає альтернативи. Однак треба чітко розуміти та пам'ятати її основне призначення. Нам видається, що застосування методики Firewall для забезпечення мережевої безпеки є необхідним, але аж ніяк не достатнімумовою, і не потрібно вважати, що, поставивши Firewall, ви разом вирішите всі проблеми з безпекою мережі і позбавитеся всіх можливих віддалених атак з мережі Internet. Мережа Internet, що прогнила з точки зору безпеки, ніяким окремо взятим Firewall"ом не захистиш!

3.2.2. Програмні методи захисту, що застосовуються у мережі Internet

До програмних методів захисту в мережі Internet можна віднести насамперед захищені криптопротоколи, з використанням яких з'являється можливість надійного захисту з'єднання. У наступному пункті йтиметься про існуючі на сьогоднішній день в Internet підходи та основні, вже розроблені, криптопротоколи.

До іншого класу програмних методів захисту від віддалених атак відносяться існуючі на сьогоднішній день програми, основна мета яких - аналіз мережного трафіку щодо наявності одного з відомих активних віддалених впливів.

а) SKIP-технологія та криптопротоколи SSL, S-HTTP як основний засіб захисту з'єднання та переданих даних у мережі Internet

Одна з основних причин успіху віддалених атак на розподілені ЗС криється у використанні мережевих протоколів обміну, які не можуть надійно ідентифікувати віддалені об'єкти, захистити з'єднання та дані, що передаються по ньому. Тому цілком природно, що у процесі функціонування Internet було створено різні захищені мережеві протоколи, що використовують криптографію як із закритим, так і з відкритим ключем. Класична криптографія з симетричними криптоалгоритмами передбачає наявність у передавальної та приймаючої сторони симетричних (однакових) ключів для шифрування та дешифрування повідомлень. Ці ключі передбачається заздалегідь розподілити між кінцевим числом абонентів, що в криптографії називається стандартною проблемою статичного розподілу ключів. Очевидно, що застосування класичної криптографії із симетричними ключами можливе лише на обмеженій множині об'єктів. У мережі Internet всім її користувачів вирішити проблему статичного розподілу ключів, очевидно, неможливо. Однак одним із перших захищених протоколів обміну в Internet був протокол Kerberos, заснований саме на статичному розподілі ключів для кінцевого числа абонентів. Так само, використовуючи класичну симетричну криптографію, змушені йти наші спецслужби, які розробляють свої захищені криптопротоколи для мережі Internet. Це пояснюється тим, що чомусь досі немає гостованого криптоалгоритму з відкритим ключем. Скрізь у світі подібні стандарти шифрування давно прийняті та сертифіковані, а ми, мабуть, знову йдемо іншим шляхом!

Отже, зрозуміло, що для того, щоб дати можливість захиститися усьому безлічі користувачів мережі Internet, а не обмеженому його підмножині, необхідно використовувати ключі, що динамічно виробляються в процесі створення віртуального з'єднання при використанні криптографії з відкритим ключем. Далі ми розглянемо основні на сьогодні підходи та протоколи, які забезпечують захист з'єднання.

SKIP(Secure Key Internet Protocol)-технологією називається стандарт інкапсуляції IP-пакетів, що дозволяє в існуючому стандарті IPv4 на мережному рівні забезпечити захист з'єднання та даних, що передаються по ньому. Це досягається наступним чином: SKIP-пакет є звичайним IP-пакетом, поле даних якого являє собою SKIP-заголовок визначеного специфікацією формату і криптограму (зашифровані дані). Така структура SKIP-пакету дозволяє безперешкодно спрямовувати його будь-якому хосту в мережі Internet (міжмережева адресація відбувається за звичайним IP-заголовком у SKIP-пакеті). Кінцевий одержувач SKIP-пакету за заздалегідь визначеним розробниками алгоритмом розшифровує криптограму та формує звичайний TCP- або UDP-пакет, який і передає відповідному звичайному модулю (TCP або UDP) ядра операційної системи. В принципі, ніщо не заважає розробнику формувати за цією схемою свій оригінальний заголовок, відмінний від SKIP-заголовка.

S-HTTP(Secure HTTP) – це розроблений компанією Enterprise Integration Technologies (EIT) спеціально для Web захищений HTTP-протокол. Протокол S-HTTP дозволяє забезпечити надійний криптозахист тільки HTTP-документів Web-півночі та функціонує на прикладному рівні моделі OSI. Ця особливість протоколу S-HTTP робить його абсолютно спеціалізованим засобом захисту з'єднання, і, як наслідок, неможливе застосування для захисту всіх інших прикладних протоколів (FTP, TELNET, SMTP та ін.). Крім того, жоден з існуючих на сьогоднішній день основних Web-броузерів (ні Netscape Navigator 3.0, ні Microsoft Explorer 3.0) не підтримує цей протокол.

SSL(Secure Socket Layer) – розробка компанії Netscape – універсальний протокол захисту з'єднання, що функціонує на сеансовому рівні OSI. Цей протокол, який використовує криптографію з відкритим ключем, на сьогоднішній день, на нашу думку, є єдиним універсальним засобом, що дозволяє динамічно захистити будь-яке з'єднання з використанням будь-якого прикладного протоколу (DNS, FTP, TELNET, SMTP тощо). Це з тим, що SSL, на відміну S-HTTP, функціонує на проміжному сеансовому рівні OSI (між транспортним - TCP, UDP, - і прикладним - FTP, TELNET тощо. буд.). При цьому процес створення віртуального SSL-з'єднання відбувається за схемою Діффі і Хеллмана (п. 6.2), яка дозволяє виробити криптостійкий сеансовий ключ, використовуваний надалі абонентами SSL-з'єднання для шифрування повідомлень, що передаються. Протокол SSL сьогодні вже практично оформився як офіційний стандарт захисту для HTTP-з'єднань, тобто для захисту Web-серверів. Його підтримують, звичайно, Netscape Navigator 3.0 і, як не дивно, Microsoft Explorer 3.0 (згадаймо ту жорстоку війну броузерів між компаніями Netscape і Microsoft). Звичайно, для встановлення SSL-з'єднання з Web-сервером ще необхідна наявність Web-сервера, що підтримує SSL. Такі версії Web-серверів вже існують (SSL-Apachе, наприклад). У висновку про протокол SSL не можна не відзначити наступний факт: законами США донедавна було заборонено експорт криптосистем з довжиною ключа більше 40 біт (нещодавно він був збільшений до 56 біт). Тому в існуючих версіяхброузерів використовуються саме 40-бітові ключі. Криптоаналітиками шляхом експериментів було з'ясовано, що у існуючій версії протоколу SSLшифрування з використанням 40-бітного ключа не є надійним захистом для повідомлень, що передаються по мережі, так як шляхом простого перебору (2 40 комбінацій) цей ключ підбирається за час від 1,5 (на суперЕОМ Silicon Graphics) до 7 діб (у процесі обчислень використовувалося 120 робочих станцій та кілька міні ЕОМ).

Отже, очевидно, що повсюдне застосування цих захищених протоколів обміну, особливо SSL (звісно, ​​з довжиною ключа понад 40 біт), поставить надійний бар'єр шляху різноманітних віддалених атак і серйозно ускладнить життя кракерів всього світу. Однак весь трагізм сьогоднішньої ситуації із забезпеченням безпеки в Internet полягає в тому, що поки що жоден з існуючих криптопротоколів (а їх уже чимало) не оформився як єдиного стандартузахисту з'єднання, який би підтримувався всіма виробниками мережевих ОС!Протокол SSL, що є на сьогодні, підходить на цю роль найкращим чином. Якби його підтримували всі мережеві ОС, то не знадобилося б створення спеціальних прикладних SSL-сумісних серверів (DNS, FTP, TELNET, WWW та ін.). Якщо не домовитися про прийняття єдиного стандарту на захищений протокол сеансового рівня, тоді буде потрібно прийняття багатьох стандартів на захист кожної окремої прикладної служби. Наприклад, вже розроблений експериментальний протокол Secure DNS, який ніким не підтримується. Також існують експериментальні SSL-сумісні Secure FTP- та TELNET-сервери. Але все це без прийняття єдиного стандарту, що підтримується всіма виробниками, на захищений протокол не має абсолютно ніякого сенсу. А на сьогоднішній день виробники мережевих ОС не можуть домовитися про єдину позицію на цю тему і тим самим перекладають вирішення цих проблем безпосередньо на користувачів Internet і пропонують їм вирішувати свої проблеми з інформаційною безпекою так, як тим заманеться!

б) Мережевий моніторбезпеки IP Alert-1

Практичні та теоретичні дослідження авторів, за напрямом, пов'язаним з дослідженням безпеки розподілених ЗС, у тому числі й мережі Internet (два полярні напрямки дослідження: порушення та забезпечення інформаційної безпеки), навели на таку думку: у мережі Internet, як і в інших мережах ( наприклад, Novell NetWare, Windows NT), відчувається серйозна нестача програмного засобу захисту, комплексний контроль (моніторинг) на канальному рівні за всім потоком інформації, що передається по мережі, з метою виявлення всіх типів віддалених впливів, описаних у 4 розділі. Дослідження ринку програмного забезпечення мережевих засобів захисту для Internet виявило той факт, що подібних комплексних засобів виявлення віддалених впливів за нашими відомостями не існує, а ті, що є, призначені для виявлення впливів одного конкретного типу (наприклад, ICMP Redirect або ARP). Тому і було розпочато розробку засобу контролю сегмента IP-мережі, призначеного для використання в мережі Internet і таку назву: мережевий монітор безпеки IP Alert-1. Основне завдання цього засобу, що програмно аналізує мережевий трафік у каналі передачі, полягає не у відображенні здійснюваних по каналу зв'язку віддалених атак, а в їх виявленні, протоколюванні (веденні файлу аудиту з протоколюванням у зручній для подальшого візуального аналізу формі всіх подій, пов'язаних з віддаленими атаками на даний сегмент мережі) та негайному сигналізуванні адміністратору безпеки у разі виявлення віддаленої атаки. Основним завданняммережевого монітора безпеки IP Alert-1є здійснення контролюза безпекою відповідного сегмента мережі Internet.

Мережевий монітор безпеки IP Alert-1має наступні функціональні можливості і дозволяє, шляхом мережевого аналізу, виявити наступні віддалені атаки на контрольований ним сегмент мережі Internet.

Функціональні можливості мережевого монітора безпеки IP Alert-1

1. Контролює відповідність IP- та Ethernet-адрес у пакетах, що передаються хостами, що знаходяться всередині контрольованого сегменту мережі.

На хості IP Alert-1 адміністратор безпеки створює статичну ARP-таблицю, куди заносить відомості про відповідні IP- та Ethernet-адреси хостів, що знаходяться всередині контрольованого сегмента мережі.

Ця функція дозволяє виявити несанкціоновану зміну IP-адреси або її заміну (IP Spoofing).

2. Контролює коректне використання механізму віддаленого ARP-пошуку.

Ця функція дозволяє, використовуючи статичну ARP-таблицю, визначити віддалену атаку "Помилковий ARP-сервер".

3. Контролює коректне використання механізму віддаленого DNS-пошуку.

Ця функція дозволяє визначити всі можливі види віддалених атак на DNS.

4. Контролює наявність ICMP Redirect повідомлення.

Ця функція повідомляє про виявлення ICMP Redirect повідомлення та відповідної віддаленої атаки.

5. Контроль за коректністю спроб віддаленого підключення шляхом аналізу запитів, що передаються.

Ця функція дозволяє виявити, по-перше, спробу дослідження закону зміни початкового значення ідентифікатора TCP-з'єднання - ISN, по-друге, віддалену атаку "відмова в обслуговуванні", що здійснюється шляхом переповнення черги запитів на підключення, і, по-третє, спрямована " шторм" помилкових запитів на підключення (як TCP, так і UDP), що призводить також до відмови в обслуговуванні.

Таким чином, мережевий монітор безпеки IP Alert-1дозволяє виявити, оповістити та запротоколювати всі види віддалених атак, описаних у 4 розділі! При цьому дана програма аж ніяк не є конкурентом для систем Firewall. IP Alert-1, Використовуючи описані і систематизовані в 4 главі особливості віддалених атак на мережу Internet, служить необхідним доповненням - до речі, незрівнянно дешевшим, - до систем Firewall. Без монітора безпеки більшість спроб здійснення віддалених атак на сегмент мережі залишиться приховано від ваших очей. Жоден з відомих авторам файрволів не займається подібним інтелектуальним аналізом повідомлень, що проходять по мережі, на предмет виявлення різного роду віддалених атак, обмежуючись, у кращому випадку, веденням журналу, в який заносяться відомості про спроби підбору паролів для TELNET і FTP, про сканування портів і про сканування мережі з використанням знаменитої програми віддаленого пошуку відомих уразливостей мережевих ОС – SATAN. Тому якщо адміністратор IP-мережі не бажає залишатися байдужим і задовольнятися роллю простого статиста при віддалених атаках на його мережу, то йому бажано використовувати мережевий монітор безпеки IP Alert-1. До речі, нагадаємо, що Цутому Шимомура зміг запротоколювати атаку Кевіна Мітника, багато в чому, мабуть, завдяки програмі tcpdump - найпростішому аналізатору IP-трафіку.

Мал. 3. Мережний монітор безпеки IP Alert-1.

4. Ринок систем безпеки

4.1. Основні тенденції ринку: статистика та прогнози

Як відомо, той, хто володіє інформацією, має світ. Однак сьогодні все переконливіше звучить і інше, не менш актуальне твердження: той, хто володіє інформацією, постійно побоюється її втратити чи втратити контроль над нею.

За оцінками багатьох аналітиків, в 2001 році характер зломів істотно змінився: якщо раніше хакер діяв в основному віч-на-віч з об'єктом атаки (тобто по суті аполітично), то в даний час можна говорити про групові дії хакерів, що в обстановці сучасного, що швидко змінюється. світу стало знаковим явищем. Атака – це вже не просто спосіб самовираження та не «показовий виступ», а інструмент завдання удару по меті. Дослідження показують, що Комп'ютерна Мережа (КС) майже скрізь дуже вразлива, тому активізація цього виду діяльності несе у собі пряму небезпеку, особливо у момент напруженості у відносинах між різними політичними групами та державами. Експерти зазначають, що більшість великих ресурсів мережі досі вразливі.

На підставі досліджень загальних тенденцій інформаційної безпеки в IT-секторі можна зробити висновок, що компанії досить інертно змінюють свою інформаційну політику в галузі інформаційної безпеки, що їх стратегічне бачення постійно запізнюється в охопленні перспективи, а їхню практику поводження з персональними даними та рівень захищеності інфраструктур працею можна назвати задовільними. Як аргументи, які говорять на користь цього твердження, можна навести вражаючі цифри. Так, більшість компаній неадекватно співвідносять свою діяльність з існуючими загрозами: наприклад, лише одна компанія з 10 видаляє/змінює паролі після звільнення працівника, хоча 80% компаній мають відповідні регламенти. Результати досліджень свідчать про слабку прихильність організацій до аудиту з питань інформаційної безпеки (35%), про мінімальні зусилля щодо стимулювання легального розслідування інцидентів (17%), про недостатнє розуміння джерел загрози (79% досі вважають, що небезпека виходить ззовні, хоча статистика доводить протилежне). Дослідження показали, що 60% топ-менеджерів розглядає інформаційну безпеку корпорацій як проблему технологій (a technology problem) і лише (40%) – як стратегічну проблему для бізнесу корпорації (a strategic business issue).

Однак, незважаючи на перелічені вище факти, в даний час очевидне зростання уваги суспільства до проблем інформаційної безпеки, до того спектру відносин, які зазвичай називають Electronic Security. Підтвердженням є наступне. На думку фахівців аналітичної компанії IDC, попит на системи Інтернет-безпеки найближчими роками стрімко зростатиме, що перетворить даний сектор ринку на один із найприбутковіших. Згідно з розрахунками IDC, середньорічне зростання на ринку систем Інтернет-безпеки в найближчі п'ять років становитиме 23%, і до 2005 року ринок досягне обсягу 14 млрд. дол. Як вважають фахівці IDC, основний потенціал лежить у секторі програмних продуктів, призначених для безпечної аутентифікації , авторизації та адміністрування, - у так званому секторі продуктів групи 3А (Адміністрування, Авторизація, Аутентифікація). На думку IDC, програмне забезпечення інформаційної безпеки 3А складається з реалізацій функцій адміністрування, авторизації та аутентифікації, що використовуються для адміністрування безпеки на окремих комп'ютерних системах або в корпоративних рамках, і включає процеси визначення, створення, зміни, видалення та аудиту користувачів. За оцінками того ж джерела, щорічний приріст у цьому секторі становитиме 28%, і до 2005 року він займе 67% ринку.

Відомо, що одним із факторів, що стримують розвиток електронної комерції, є проблема безпеки. Згідно з дослідженням Конфедерації британської промисловості (CBI), компанії більше вірять у безпеку В2В-операцій. Більше половини підприємств, опитаних CBI, заявили, що вони довіряють В2В-комерції, тоді як про В2С-операції так висловилося лише 32%. Хоча шахрайство з банківськими картами і становить близько 4% від числа серйозних інцидентів, аналітики CBI відзначають, що страх шахрайства, як і раніше, стримує розвиток електронного бізнесу, особливо В2С-сектору.

Серед інших важливих тенденцій ринку слід зазначити те, що компанії поки що не готові захистити себе та представити безпечний сервіс, оскільки у них не вистачає кваліфікованого персоналу (70,5%) і вони стратегічно не в змозі прорахувати, наскільки вигідним буде впровадження нових практик безпеки (45,9%). Такі далеко не обнадійливі результати були виявлені в ході дослідження по Японії, яка жодною мірою не є технологічно відсталою країною. Фахівці стверджують, що у сфері мережевої безпеки відчувається гостра нестача персоналу, здатного ефективно вирішувати відповідні завдання.

Один з останніх опитувань минулого року зафіксував зростаюче занепокоєння американців у зв'язку з проблемами конфіденційності та мережевої безпеки. І хоча основний акцент було зроблено на оцінці безпеки корпоративних та урядових мереж, у загальному контексті відповідей простежується тривога щодо всього, що оточує людей у ​​цьому невизначеному світі: що 71% респондентів заявили, що вони стурбовані проблемою безпеки у КС, а 78% стурбовані можливістю крадіжки чи іншого несанкціонованого використання їх персональної інформаціїу КС.

Безпека бездротових операцій продовжує турбувати і компанії, і користувачів. Ті та інші побоюються, що хакери зможуть перехоплювати інформацію на льоту. Крім того, потенційною проблемою є втрата користувачами мобільних пристроїв, які містять конфіденційну інформацію.

4.2. Структура ринку безпеки

Те, що у 60-ті роки називалося комп'ютерної безпекою, а 70-ті - безпекою даних, сьогодні точніше називається інформаційної безпекою. Інформаційна безпека включає заходи щодо захисту процесів створення даних, їх введення, обробки та виведення. Головна мета полягає в тому, щоб захистити та гарантувати точність та цілісність інформації, мінімізувати руйнування, які можуть мати місце, якщо інформація буде модифікована чи зруйнована. Інформаційна безпека вимагає врахування всіх подій, коли інформація створюється, модифікується, коли до неї забезпечується доступ і коли вона поширюється.

Інформаційна безпека гарантує досягнення таких цілей:

· Конфіденційність критичної інформації;

· Цілісність інформації та пов'язаних з нею процесів (створення, введення, обробки та виведення);

· Доступність інформації у разі необхідності;

· Облік всіх процесів, пов'язаних з інформацією.

Загалом ринок безпеки інформаційних систем можна умовно поділити на два ідеологічно не пов'язані напрямки.

Перший напрямок має на меті інформаційний захист мереж, тобто захист інформації, що циркулює всередині інформаційних мереж. В даний час це найбільш затребуване, а тому добре розвинене. Сюди входять різні антивіруси, фільтри (firewall), криптографічні засоби, захисні протоколи, цифрові підписиі т.п. Найбільш надійним засобом на сьогоднішній день є шифрування із відкритим ключем.

Другий напрямок, що стрімко розвивається в Останнім часом, пов'язаний із безпосереднім захистом об'єктів мережі. Цей напрямок представляють в основному механічні пристрої, що запобігають доступу до апаратної частини, тобто до серверів, персональних комп'ютерів і т.д. Основне завдання зазначених пристроїв полягає в тому, щоб за допомогою різних кріплень, замків, захисних кожухів тощо не дати порушнику можливості розкрити комп'ютер. В арсеналі є також програмні засоби, які дозволяють знаходити викрадені комп'ютери після того, як вони хоч раз були підключені до телефонної мережі або Інтернету. Ці програми складаються з двох частин: клієнта та центру обробки інформації. Після того, як клієнт встановлений на комп'ютер, він періодично (кожні 15 хвилин) зв'язується з центром і передає доступну інформацію про поточний статус комп'ютера (IP-адреса, номер телефону, до якого підключений комп'ютер, і т.д.). Клієнт встановлюється в такий спосіб, щоб бути захищеним від форматування вінчестера, і бути видимим з допомогою звичайних засобів операційної системи (process viewers). Ще один варіант реалізації другого напрямку полягає в тому, що комп'ютери за допомогою додаткової проводки та спеціальних датчиків, які кріпляться до задньої панелі комп'ютера, об'єднуються в мережу, відмінну від мережі передачі даних, і підключаються до апаратного пристрою, здатного реєструвати несанкціонований доступта включати сигналізацію.

Найімовірніше, у найближчому майбутньому ми будемо свідками інтеграції цих двох напрямів, що є природним кроком на шляху до підвищення рівня захисту інформації. І в результаті такої інтеграції зможе з'явитися якась універсальна система безпеки, а адміністратор безпеки має єдине робоче місце, з якого він зможе контролювати порядок обробки даних і цілісність об'єктів. Установка такої системи не потребуватиме додаткової прокладки кабелів, а її робота ніяк не позначиться на продуктивності передачі даних.

4.3. Лідери на ринку систем безпеки

Корпорація Symantec

Компанія Symantec, один із світових лідерів у створенні систем безпеки для роботи в Інтернеті, є провідним постачальником на ринку систем безпеки. Компанія Symantec, що належить корпорації, торгова марка Norton об'єднує лінію продуктів, що використовуються для забезпечення інформаційної безпеки, що займають провідні позиції у світі як за кількістю продажів у роздрібній торгівлі, так і за кількістю галузевих нагород. Штаб-квартира Symantec розташована в м.Купертіно, шт. Каліфорнія. Корпорація має представництва у 37 країнах.

У звіті Gartner Dataquest ця компанія названа світовим лідером у галузі постачання програмних засобів для забезпечення інформаційної безпеки. Ця оцінка ґрунтується на обсязі доходів від продажу нових ліцензій у 2000 році. Звіт Gartner Dataquest показує, що зростання, продемонстроване корпорацією Symantec, випереджає зростання ринку засобів безпеки - зростання доходів корпорації Symantec склало 40% за рік. "В результаті злиття з компанією Axent, яке відбулося в грудні 2000 року, корпорація Symantec перемістилася з 4-го на 1-е місце в списку, заволодівши при цьому 14,7% ринку засобів безпеки", - наголошується у звіті. Програмні засоби безпеки Symantec, згідно з класифікацією Gartner Dataquest, включають: антивірусне програмне забезпечення, програми шифрування, засоби виявлення спроб несанкціонованого проникнення та інші засоби інформаційного захисту- міжмережеві екрани, програми фільтрації Web-ресурсів, програми для керування доступом до зовнішніх мереж. Корпорація Symantec пропонує кошти антивірусного захисту, міжмережні екрани, віртуальні приватні мережі, засоби виявлення слабких місць системи безпеки та спроб несанкціонованого проникнення, програми фільтрації інформаційних ресурсів Інтернету та електронної пошти, технології віддаленого керування, а також послуги із забезпечення інформаційної безпеки.

Компанія Network Associates, Inc.

Ця компанія, як і Symantec, впевнено домінує на ринку систем безпеки, контролюючи близько 60% світового ринку антивірусів. За даними Network Associates, Inc. (NAI) вона має понад 60 млн користувачів по всьому світу. NAI пропонує одне з найбільш укомплектованих у функціональному та споживчому плані сімейства програм, які захищають, керують та контролюють корпоративні мережі. Функціональні можливості та широта рішень, що пропонуються Network Associates, доповнюються можливостями, придбаними у Pretty Good Privacy (PGP) та Magic Solutions, а також потужними засобами антивірусних засобів Dr.Solomon's, першу версію якої було випущено на початку 1997 року фірмою Dr.Solomon's Software. За інформацією McAfee (підрозділи Network Associates, Inc.), програмний продукт McAfee Group Shield Exchange вже третій рік поспіль отримує нагороду Best Buy від Secure Computing Magazine, виграючи в порівняльному тестіантивірусів для MS Exchange У порівняльному оглядіантивірусів для Microsoft Exchange 2001 McAfee Group Shield отримав найвищі оцінки, обійшовши продукти інших антивірусних виробників, таких як Symantec, Лабораторія Касперського, Trend Micro, F-Secure, Panda, Computer Associates та ін.

Корпорація Computer Associates International, Inc.

Звіт IDC визначив Computer Associates International, Inc. (CA) як провідного постачальника програмного забезпечення в галузі автентифікації, авторизації та адміністрування (3А), якому належить 15,5% світового ринку. У 2001 році звіт IDC під назвою «Прогноз та аналіз міжнародного ринку програмного забезпечення безпеки роботи в Інтернеті на 2001-2005 роки» виділив СА як світового постачальника постачальника програмного забезпечення захисту даних при роботі в Інтернеті другий рік поспіль. СА пропонує рішення 3А засобами сімейства продуктів eTrust (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control та eTrust Intrusion Detection). «СА є очевидним світовим лідером у розробці рішень з інформаційної безпеки і технологічної ефективності, і за загальним обсягом на ринку», - зазначив віце-президент СА з рішень eTrust, Barry Keyes. - Переваги нашої нової бізнес-моделі ліцензування, всебічний технічний сервісі прозоре інтегроване рішення управління електронним бізнесом дозволило і нам зробити пропозицію, що не має собі рівних за цінністю, менеджерам з інформаційної безпеки підприємств і сервіс-провайдерів». Сімейство продуктів eTrust дозволяє команді управління захищати, адмініструвати доступ та гарантувати управління та безпеку комплексної автоматизованої системи. Рішення eTrust сумісне з діючими стандартами захисту даних, гарантує можливість взаємодії з існуючими механізмами внутрішньої безпеки та з такими самими механізмами партнерів мережевої взаємодії.

Насамкінець хотілося б ще раз наголосити, що проблема інформаційної безпеки з кожним роком стає все більш актуальною. І ринок, відгукуючись на масовий попит, напевно, пропонуватиме, а втім, уже пропонує, надійні та цілком гідні рішення щодо забезпечення безпеки. І головне зараз - зупинити будь-якими засобами настання інформаційного хаосу, який провокується аматорами зазирнути через плече або поритися в чужих електронних портфелях. А для цього кожен має вибрати для себе надійний засіб інформаційного захисту, який забезпечить належну інформаційну безпеку.

Висновок

Вихідно мережа створювалася як незахищена відкрита система, призначена для інформаційного спілкування дедалі більшого числа користувачів.

При цьому підключення нових користувачів мало бути максимально простим, а доступ до інформації найбільш зручним. Все це явно суперечить принципам створення захищеної системи, безпека якої має бути описана на всіх стадіях її створення та експлуатації, а користувачі мають чіткі повноваження.

Творці мережі не прагнули цього, та й вимоги захисту настільки ускладнили б проект, що зробили б його створення навряд чи можливим.

Висновок: Internet створювався як незахищена система, не призначена для зберігання та обробки конфіденційної інформації. Більше того, захищений Internet не зміг би стати тією системою, якою він зараз є і не перетворився б на інформаційний образ світової культури, її минулого та сьогодення. У цьому є самостійна цінність Мережі та, можливо, її небезпека є плата за таке високе призначення.

Наслідок: Існує безліч користувачів, зацікавлених у тому, щоб Internet став системою з категорованою інформацією та повноваженнями користувачами, підпорядкованими встановленій безпеці.

Проте найяскравіші твори людського розуму через деякий час починають жити самостійним життям, розвиваючись і виходячи за первісні задуми творців. Тому слабка захищеність мережі з часом почала дедалі більше турбувати її користувачів.

На наш погляд, у Мережі не повинна бути інформація, розкриття якої призведе до серйозних наслідків. Навпаки, у Мережі необхідно розміщувати інформацію, поширення якої бажано її власнику. При цьому завжди необхідно враховувати той факт, що будь-якої миті ця інформація може бути перехоплена, спотворена або може стати недоступною. Отже, йдеться не про захищеність Internet, а про забезпечення розумної достатності інформаційної безпеки Мережі.

Звичайно, це не скасовує необхідності ознайомлення користувача з багатим і постійно зростаючим арсеналом програмних та апаратних засобів забезпечення інформаційної безпеки мережі. Тим не менш відзначимо, що вони не в змозі перетворити Internet на захищене середовище, що означало б зміну її природи.

Чи буде Internet захищеним? Розвиток засобів безпеки Internet може увійти у суперечність із її призначенням та спотворить саму ідею Мережі. Більш правомірною є постановка питання про створення спеціалізованої безпечної світової інфосфери, призначеної для управління світовим виробництвом, транспортом, геополітикою. Певне, прогрес призведе до необхідності створення такої єдиної системи. Таке середовище спілкування матиме архітектуру безпеки та гарантуватиме цілісність та конфіденційність інформації. Очевидно, що творці цієї системи повинні забезпечити дотримання політичних та економічних інтересів світових суб'єктів, оскільки багатопільне володіння цією системою означає контроль за світом.

Зрозуміло, що подібним середовищем може бути Internet у сьогоднішньому вигляді. Головне, з погляду, - треба утриматися від прагнення наблизити сьогоднішній Internet до такого середовища управління світом. Internet по-своєму хороший у тому вигляді, як він є.

У чому перспектива захисту інформаційних систем за доби інтеграції середовища обробки інформації? На нашу думку, вихід із становища полягає у чіткому розмежуванні інформації, що становить життєвий інтерес для суб'єктів - користувачів - та створення спеціалізованих систем її обробки. Такі системи повинні мати можливість інтегрування у світову мережу при забезпеченні їхньої односторонньої інформаційної ізоляції.

Комп'ютерПрес 8"1999

Лукацький О.В. Системи виявлення атак// Банківські технології. 1999. № 2.

Комп'ютерПрес 10"2001

Комп'ютерПрес 3"2002

Розвиток інформаційних технологій та зростання популярності Інтернету призвели до того, що комп'ютери стали важливою частиною життя людей. Ми використовуємо їх для роботи, пошуку потрібної інформації в абсолютно різних галузях, взаємодії з людьми, що знаходяться в різних точках та багато іншого, тому часто неможливість скористатися комп'ютером у потрібний момент іноді призводить до критичних наслідків.

Сьогодні комп'ютери дедалі частіше стають жертвами атак. Напади зазнають не тільки корпоративних пристроїв і локальних мереж великих компаній, але й комп'ютерів рядових користувачів. Атаки можуть проводитися як з метою викрадення персональних даних, особливо фінансових, так і з простої цікавості та розваги, наприклад, хакерами-початківцями. Також поширеними причинами атак є особиста ворожість до власників ресурсів та конкурентна боротьба. В останньому випадку вони проводяться на замовлення та за певну плату. Способів і видів атак дуже багато, і з кожним роком вони стають все складнішими і хитрішими.

Комп'ютерна атака- це вплив на систему чи отримання несанкціонованого доступу до неї з використанням програмних чи програмно-апаратних засобів

Яскравим прикладом атак, які не мають на меті викрадення даних, є DoS-атаки. Вони призводять до переривання обслуговування легітимних користувачів, унеможливлюють певні сервіси або всю систему, що дуже неприємно. Хоча при цьому зберігається конфіденційність даних, скористатися ними стає неможливо, атаки такого роду заважають повноцінній роботі з комп'ютерними ресурсами.

Суть DoS-атаки у тому, що зловмисник намагається зробити тимчасово недоступним конкретний сервер, перевантажити мережу, процесор чи переповнити диск. Мета атаки - вивести комп'ютер з ладу, захопити всі ресурси комп'ютера-жертви, щоб інші користувачі не мали доступу до них. До ресурсів відносяться, наприклад, пам'ять, процесорний час, дисковий простір, мережні ресурси і т.д.

DoS-атака (відмова в обслуговуванні)- це атака, що призводить до паралізації роботи сервера або персонального комп'ютера внаслідок величезної кількості запитів, що з високою швидкістю надходять на атакований ресурс

Основні способи реалізації DoS-атак

Існують два основні способи реалізації DoS-атак.

Перший, логічний, полягає у використанні вразливостей у програмному забезпеченні, встановленому на комп'ютері, що атакується. Вразливість дозволяє викликати певну критичну помилку, що призводить до порушення працездатності системи. Ці атаки спрямовані на слабкі місця операційних систем, програмного забезпечення, процесорів та програмованих мікросхем.

Другийспосіб полягає у надсиланні великої кількості пакетів інформації на атакований комп'ютер, що викликає перевантаження мережі. Атаки, вироблені шляхом відсилання великої кількості пакетів, можуть бути виділені у два основні види.

Атаки, спрямовані на блокування каналів зв'язку та маршрутизаторів.Суть атаки полягає у відправленні на атакований комп'ютер величезного потоку флуду, тобто запитів неправильного форматуабо безглуздих насправді. Флуд повністю забиває всю ширину даних або вхідний маршрутизатор. Оскільки обсяг даних перевищує обсяг ресурсів для їхньої обробки, стає неможливим отримання коректних пакетів даних від інших користувачів. В результаті система відмовляє їм в обслуговуванні.

Атаки, спрямовані на переповнення ресурсів операційної системи чи додатків. Атаки даного типуорієнтовані не так на канал зв'язку, але в саму систему. Кожна система має безліч обмежень за різними параметрами (процесорний час, дисковий простір, пам'ять та ін.) і сенс атаки полягає в тому, щоб змусити систему ці обмеження порушити. Для цього на комп'ютер жертви надсилається безліч запитів. Внаслідок перевитрати обчислювальних потужностей на сервері система відмовляє в обслуговуванні запитів легітимних користувачів.

Основні типи DoS-атак

Існує кілька типів атак "відмова в обслуговуванні", що ґрунтуються на особливостях стека протоколів TCP/IP. Перелічимо найвідоміші.

Атака Ping-of-Deathвикористовує таку вразливість протоколу TCP/IP як фрагментацію пакетів даних. У процесі передачі мережею пакети даних поділяються на фрагменти, які збираються в єдине ціле вже після прибуття на комп'ютер-адресат. Атака відбувається таким чином: на комп'ютер жертви надсилається сильно фрагментований ICMP-пакет, розмір якого перевищує допустимий у протоколі (понад 64KB). Коли пристрій, що атакується, отримує фрагменти і намагається відновити пакет, операційна система повністю повисає, перестає також працювати миша і клавіатура. Атакам такого типу можуть піддатися операційні системи сімейства Windows, Mac і деякі версії Unix.

Атака SYN-flooding («Смертельний потиск рук»)використовує таку особливість протоколу TCP/IP як механізм потрійного рукостискання. Щоб передати дані, клієнт надсилає пакет із встановленим прапором SYN (synchronize). У відповідь сервер повинен відповісти комбінацією прапорів SYN+ACK (acknowledges). Потім клієнт повинен відповісти пакетом із прапором ACK, після чого з'єднання вважається встановленим.

Суть цієї атаки полягає у створенні великої кількості не до кінця встановлених TCP-з'єднань. Надсилаючи жертві величезну кількість пакетів TCP SYN, зловмисник змушує її відкрити відповідне число TCP-з'єднань і реагувати на них, а потім не завершує процес установки з'єднання. Він або не надсилає відповідний пакет з прапором ACK, або підробляє заголовок пакета таким чином, що ACK у відповідь відправляється на неіснуючу адресу. Тим самим вимоги механізму «потрійного рукостискання» не виконуються. Підключення продовжують чекати своєї черги, залишаючись у напіввідкритому стані. При цьому сервер, що атакується, виділяє ресурси для кожного отриманого SYN-пакета, які незабаром вичерпуються. Після закінчення певного проміжку часу напіввідкриті підключення відкидаються. Зловмисник намагається підтримувати чергу заповненою, щоб не допустити нових підключень легітимних клієнтів. В результаті, встановлення зв'язку або відбувається з великими затримками, або взагалі не відбувається.

Атака Landтакож використовує особливість протоколу TCP/IP, що у запит з'єднання потрібно обов'язково відповісти. Суть цієї атаки полягає в тому, що комп'ютер-жертва в результаті дій зловмисників намагається встановити з'єднання сам з собою, що призводить до перевантаження процесора і викликає зависання або аварійне завершення системи.

Пакетна фрагментація.Даний тип атак використовує згадуваний вище механізм передачі даних протоколу TCP/IP, відповідно до якого пакети даних розбиваються на фрагменти. Фрагментація використовується при необхідності передачі IP-дейтаграми, тобто блоку інформації, що передається за допомогою протоколу IP через мережу, в якій максимально допустима одиниця передачі даних менше розміру цієї дейтаграми. Атаки даного типу викликають відмову в обслуговуванні, використовуючи вразливість деяких стеків TCP/IP, пов'язаних зі складанням IP-фрагментів.

Прикладом може бути атака TearDrop, В результаті якої під час передачі фрагментів відбувається їх зміщення, що при складанні пакета викликає їх перекриття. Спроба комп'ютера, що атакується, відновити правильну послідовність фрагментів викликає аварійне завершення системи.

Атака DNS floodingполягає у передачі величезної кількості DNS-запитів. Це призводить до перевантаження сервера DNS і унеможливлює звернення до нього інших користувачів.

Якщо атака типу «Відмова в обслуговуванні» проводиться одночасно відразу з великої кількості комп'ютерів, то в цьому випадку говорять про DDoS-атаку.

DDoS-атака (розподілена відмова в обслуговуванні)– це різновид DoS-атаки, який організується за допомогою дуже великої кількості комп'ютерів, завдяки чому атаці можуть бути піддані серверу навіть з дуже великою пропускною спроможністю Інтернет-каналів.

Для організації DDoS-атак зловмисники використовують ботнет. спеціальну мережукомп'ютерів, заражених особливим видом вірусів. Кожним комп'ютером зловмисник може керувати віддалено, без відома власника. За допомогою вірусу або програми, що майстерно маскується під легальну, на комп'ютер-жертву встановлюється шкідливий програмний код, який не розпізнається антивірусом і працює в фоновому режимі. У потрібний момент за командою власника ботнета така програма активізується і починає надсилати запити на сервер, що атакується, в результаті чого заповнюється канал зв'язку між сервісом, на який проводиться атака, і Інтернет-провайдером і сервер перестає працювати.

Розподілену атаку можна провести за допомогою не тільки ботнету, а й механізму відбиття. Такі атаки називаються DrDOS-атаки (атаки непрямого впливу, Distributed Reflection DoS). Вони здійснюються не безпосередньо, а через посередників. Найчастіше DrDoS-атаки відбуваються наступним чином: TCP-пакет відправляється не на атакований комп'ютер, а на будь-який сервер в Інтернеті, але як зворотна адреса вказується саме адреса комп'ютера-жертви. Оскільки будь-який сервер на пакеті TCP c SYN-прапором обов'язково відповідає пакетом TCP c прапорами SYN+ACK, довільно вибраний комп'ютер, не підозрюючи про це, відповідає на помилкові запити і автоматично закидає потоками пакетів комп'ютер-жертву.

Як захиститися від атак « Відмова в обслуговуванні » ?

Існує ряд способів, які можуть допомогти запобігти атакам такого типу. В тому числі.

Будь-який метод атаки характеризується деякою сукупністю ознак. До типових ознак атак можна віднести такі :

1) Повторення певних подій, дій. Наприклад, звернення до портів (сканування), підбір пароля, повторення запитів на встановлення з'єднання, що призводить до переповнення черги або буфера;

2) Непередбачені параметри у мережних пакетах

· непередбачені атрибути адреси (наприклад, немаршрутизовані або зарезервовані IP-адреси, значення в полі порту джерела або призначення дорівнює нулю, запит нестандартних серверів);

· непередбачені параметри прапорів мережевих пакетів (наприклад, при встановленому прапорі ACK номер підтвердження дорівнює нулю; у пакеті два взаємовиключні прапори SYN+FIN; наявність тільки прапора FIN; використання поєднання прапорів SYN+RST та RST+FIN);

· Непередбачені атрибути часу або дати;

3) Невідповідні параметри мережного трафіку

· параметри вхідного трафіку (наприклад, пакети, що входять ззовні в локальну мережу, що мають адресу джерела, що відповідає діапазону адрес внутрішньої мережі);

· Параметри вихідного трафіку (наприклад, вихідні з локальної мережіпакети, що мають адресу джерела, що відповідає діапазону адрес зовнішньої мережі);

· невідповідні поточної ситуації команди (неправильні запити чи відповіді);

· аномалії мережного трафіку (наприклад, зміна коефіцієнта завантаження, розміру пакета, середньої кількості фрагментованих пакетів);

4) Невідповідні атрибути функціонування системи

· аномальні системні характеристики (посилене завантаження CPU, інтенсивне звернення до ОЗП або дискової пам'яті, файлів);

· невідповідність характеристик роботи користувачів їх профілям (відхилення від часів пікових та мінімальних навантажень, від тривалості типового сеансу роботи, від звичайного часу входу та виходу з системи).

Основні варіанти реалізації комп'ютерних атак

Реалізація атак може бути здійснено при безпосередньому або мережному вході до системи. Тому виділяють два основні варіанти реалізації атак:

1) системний -при якому передбачається, що порушник вже має обліковий запис в системі, що атакується, з деякими (зазвичай невисокими) привілеями або існує можливість входу в систему під анонімним користувачем. При цьому атака реалізується за допомогою входу порушника до системи під цією обліковим записомта отримання додаткових адміністративних повноважень. Внаслідок проведення атаки здійснюється несанкціонований доступ до інформації на об'єкті (хості). Зокрема такий варіант атак можна здійснити за допомогою програми GetAdmin.

2) мережевий– за якого мається на увазі, що порушник намагається дистанційно проникнути в систему через мережу. Таке проникнення можливе при знаходженні комп'ютера порушника в одному сегменті мережі, в різних сегментах, при віддаленому доступі до об'єкта, що атакується (наприклад, з використанням комутованих або виділених модемних з'єднань). В результаті таких атак, у порушника може з'явитися можливість віддаленого керування комп'ютером через мережу, доступ до інформаційним ресурсаматакованого об'єкта, зміна його режиму функціонування, у тому числі відмова в обслуговуванні. Як програми, які дозволяють реалізувати мережевий варіант атак, можуть бути використані програми NetBus або BackOrifice.

Для реалізації атак можуть використовуватися певні команди (послідовності команд) в інтерфейсі командного рядка, сценарії, програми або автономні агенти, встановлені на одному або розподілені по кількох вузлах (комп'ютерах) мережі.

Комп'ютерна атака

"...Комп'ютерна атака: цілеспрямоване на ресурс автоматизованої інформаційної системи або отримання несанкціонованого доступу до них із застосуванням програмних або програмно-апаратних засобів..."

Джерело:

"ЗАХИСТ ІНФОРМАЦІЇ. ОБ'ЄКТ ІНФОРМАТИЗАЦІЇ. ФАКТОРИ, ЩО ВПЛИВАЮТЬ НА ІНФОРМАЦІЮ. ЗАГАЛЬНІ ПОЛОЖЕННЯ. ГОСТ Р 51275-2006 "

(утв. Наказом Ростехрегулювання від 27.12.2006 N 374-ст)

Офіційна термінологія. Академік.ру. 2012 .

Дивитись що таке "Комп'ютерна атака" в інших словниках:

комп'ютерна атака- Цілеспрямований несанкціонований вплив на інформацію, ресурс інформаційної системи або отримання несанкціонованого доступу до них із застосуванням програмних або програмно апаратних засобів. [Р 50.1.056 2005] Тематики захист… Довідник технічного перекладача

комп'ютерна атака- 3.11 комп'ютерна атака: Цілеспрямований несанкціонований вплив на інформацію, ресурс автоматизованої інформаційної системи або отримання несанкціонованого доступу до них із застосуванням програмних або програмно апаратних…

мережева атака- 3.12 мережна атака: Комп'ютерна атака з використанням протоколів міжмережевої взаємодії, . Джерело: ГОСТ Р 51275 2006: Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення … Словник-довідник термінів нормативно-технічної документації

Мережева атака: комп'ютерна атака з використанням протоколів міжмережевої взаємодії... Джерело: ЗАХИСТ ІНФОРМАЦІЇ. ОБ'ЄКТ ІНФОРМАТИЗАЦІЇ. ЧИННИКИ, ВПЛИВАЮЧІ НА ІНФОРМАЦІЮ. ЗАГАЛЬНІ ПОЛОЖЕННЯ. ГОСТ Р 51275 2006 (утв. Наказом ... Офіційна термінологія

Чапаєв (комп'ютерна гра)- Комп'ютерна гра Чапаєв 3D «Чапаєв», або «Чапаєвці» радянська настільна гра, що отримала назву на прізвище героя Громадянської війни Василя Івановича Чапаєва. Ця гра споріднена з більярдом і особливо близька до таких ігор, як карром, крокінол, ... Вікіпедія

StarCraft (комп'ютерна гра)- StarCraft Обкладинка оригінального компакт-диска Розробник Blizzard Entertainment Видавці Blizzard Entertainment, Sierra Entertainment, Soft Club Локалізатор … Вікіпедія

Війна та мир (комп'ютерна гра)

Друга корона (комп'ютерна гра)- Knights and Merchants: The Shattered Kingdom Розробник Joymania Entertainment Видавець TopWare Interactive … Вікіпедія

За збройного пограбування банку втрати в середньому становлять 19 тисяч доларів, а за комп'ютерного злочину — вже 560 тисяч. За оцінкою американських фахівців, збитки від комп'ютерних злочинів протягом останніх десяти років щорічно збільшуються в середньому на 35%. При цьому виявляється в середньому 1% комп'ютерних злочинів, а ймовірність того, що за розкрите комп'ютерне шахрайство злочинець потрапить до в'язниці, — не більше 10%.

Зрозуміло, цілеспрямоване застосування таких традиційних засобів управління безпекою, як антивірусне програмне забезпечення, міжмережеві екрани, засоби криптографії тощо, сприяє запобіганню несанкціонованого доступу до інформації. Однак у цьому випадку на сцену виходить людський чинник. Людина, кінцевий користувач, виявляється найслабшою ланкою системи інформаційної безпеки, і хакери, знаючи це, вміло застосовують методи соціальної інженерії. Якими б не були багаторівневі системиідентифікації, від них немає жодного ефекту, якщо користувачі, наприклад, використовують прості для злому паролі. При професійному підході до питань безпеки подібні проблеми у компаніях вирішують шляхом централізованої видачі унікальних та складних паролів або встановленням жорсткихкорпоративних правил для працівників та адекватних заходів покарання за їх недотримання. Однак ситуація ускладнюється тим, що останнім часом у ролі комп'ютерних злочинців все частіше виступають не "зовнішні" хакери, а кінцеві користувачі. За словами одного з американських фахівців з інформаційної безпеки, "Типовий комп'ютерний злочинець сьогодні - це службовець, який має доступ до системи, нетехнічним користувачем якої він є". У США комп'ютерні злочини, скоєні службовцями, становлять 70-80% щорічного збитку, що з сучасними технологіями. При цьому лише у 3% шахрайств та 8% зловживань відбувалося спеціальне руйнування обладнання, знищення програм чи даних. В інших випадках зловмисники лише маніпулювали інформацією — крали її, модифікували чи створювали нову, хибну. У наші дні все ширше розповсюдження Інтернету дозволяє хакерам обмінюватися інформацією у глобальному масштабі. Вже давно склався свого роду "хакерський інтернаціонал" — адже Інтернет, як ніякий інший технічний засіб, стирає кордони між державами і навіть цілими континентами. Додайте сюди майже повну анархічність Мережі. Будь-який бажаючий сьогодні може знайти інструкції з комп'ютерного злому та весь необхідний програмний інструментарій, просто провівши пошук за ключовими словами типу "хакер", "злом", "hack", "crack" або "phreak". Ще один фактор, що істотно підвищує вразливість комп'ютерних систем, - широке поширення стандартизованих, простих у використанні операційних систем та середовищ розробки. Це дозволяє хакерам створювати універсальні інструменти для злому, а потенційному зловмиснику тепер не потрібно, як раніше, мати гарні навички програмування — достатньо знати IP-адресу сайту, що атакується, а для проведення атаки достатньо запустити знайдену в Інтернеті програму. Вічне протистояння броні та снаряду триває. Фахівці захисту інформації вже зрозуміли, що вічно наздоганяти хакерські технології — безглуздо, комп'ютерні зловмисники завжди на крок попереду. Тому нові методики дедалі більше будуються на превентивному виявленні порушень інформаційних системах. Проте з часом виникають і нові проблеми, насамперед пов'язані з розвитком бездротового зв'язку. Тому компаніям, що спеціалізуються на інформаційній безпеці, все більше уваги доводиться приділяти захисту даних, що передаються за новими, бездротовими стандартами.

Класифікація

Мережеві атаки настільки ж різноманітні, як різноманітні системи, проти яких вони спрямовані. Чисто технологічно більшість мережевих атак використовує низку обмежень, що спочатку властиві протоколу TCP/IP. Адже свого часу Інтернет створювався для зв'язку між державними установамита університетами для підтримки навчального процесу та наукових досліджень. Тоді творці Мережі не підозрювали, наскільки широко вона пошириться. Через це у специфікаціях ранніх версій інтернет-протоколу (IP) були відсутні вимоги безпеки, а тому багато реалізації IP спочатку є вразливими. Лише через багато років, коли почався бурхливий розвиток електронної комерції і відбулася низка серйозних інцидентів з хакерами, нарешті почали широко впроваджуватися засоби забезпечення безпеки інтернет-протоколу. Однак, оскільки спочатку засоби захисту для IP не розроблялися, його реалізації почали доповнювати різними мережевими процедурами, послугами та продуктами, покликаними знижувати ризики, що "від народження" притаманні цьому протоколу.

Поштове бомбардування

Бомбардування електронною поштою (т.зв. mailbombing) — один із найстаріших та найпримітивніших видів інтернет-атак. Правильніше навіть назватиме це комп'ютерним вандалізмом (або просто хуліганством — залежно від тяжкості наслідків). Суть мейлбомбінгу — у засміченні поштової скриньки "кореспонденцією для сміття" або навіть виведенні з ладу поштового сервера інтернет-провайдера. Для цього застосовуються спеціальні програми - мейлбомбери. Вони просто засипають вказану як мішеню поштову скриньку величезною кількістю листів, вказуючи при цьому фальшиві дані відправника — аж до IP-адреси. Все, що потрібно агресору, що використовує таку програму, — вказати e-mail об'єкта атаки, кількість повідомлень, написати текст листа (зазвичай пишеться образливе), вказати фальшиві дані відправника, якщо програма цього не робить сама і натиснути кнопку "пуск" . Втім, більшість інтернет-провайдерів мають власні системи захисту клієнтів від мейлбомбінгу. Коли число однакових листів з однієї й тієї джерела починає перевищувати якісь розумні межі, вся кореспонденція такого роду, що надходить, просто знищується. Тож сьогодні поштових бомбардувань можна всерйоз не побоюватися.

Атаки з підбором пароля

Хакер, що атакує систему, часто починає свої дії зі спроб роздобути пароль адміністратора або одного з користувачів. Для того щоб дізнатися пароль, існує безліч різних методів. Ось основні з них: IP-спуфінг та сніфінг пакетів – їх ми розглянемо нижче. Впровадження в систему "троянського коня" - один з найбільш поширених в хакерській практиці прийомів, про нього ми також розповімо докладніше. Перебір "в лоб" (brute force attack - "атака грубою силою"). Існує безліч програм, які здійснюють простий перебір варіантів паролів через Інтернет або безпосередньо на комп'ютері, що атакується. Одні програми перебирають паролі за певним словником, інші просто генерують випадково різні послідовності символів. Логічний вибір варіантів пароля. Зловмисник, який використовує цей метод, просто перебирає ймовірні комбінації символів, які можуть бути використані користувачем як пароль. Такий підхід зазвичай виявляється напрочуд ефективним. Фахівці з комп'ютерної безпеки не перестають дивуватися, до чого часто користувачі використовують як пароль такі "загадкові" комбінації як, 1234, qwerty або власне ім'я, написане задом наперед. Серйозні хакери, підбираючи заповітний пароль, можуть досконало вивчити людину, яка використовує цей пароль. Імена членів сім'ї та інших родичів, коханого собаки/кішки; за які команди та в яких видах спорту "об'єкт" хворіє; які книги та кінофільми любить; яку газету читає вранці — усі ці дані та їхні комбінації йдуть у справу. Врятуватися від подібних атак можна, лише використовуючи як пароль випадкову комбінацію букв і цифр, бажано згенеровану спеціальною програмою. І, зрозуміло, необхідно регулярно змінювати пароль — слідкувати за цим повинен системний адміністратор. Соціальна інженерія Це використання хакером психологічних прийомів "роботи" з користувачем. Типовий (і найпростіший) приклад — телефонний дзвінок від нібито "системного адміністратора" із заявою на кшталт "У нас тут стався збій у системі, і інформація про користувачів була втрачена. Не могли б ви повідомити ще раз свій логін та пароль?". Так жертва сама віддає пароль до рук хакеру. Захиститися від таких атак, окрім звичайної пильності, допомагає система "одноразових паролів". Втім, через свою складність вона досі не набула досить широкого поширення.

Віруси, поштові черв'яки та "троянські коні"

Ці напасті вражають, здебільшого, не провайдерів чи корпоративні комунікації, а комп'ютери кінцевих користувачів. Масштаби поразки при цьому просто вражають — глобальні комп'ютерні епідемії, які все частіше спалахують, завдають багатомільярдних збитків. Автори ж "шкідливих" програм стають дедалі витонченішими, втілюючи в сучасних вірусах найпередовіші програмні та психологічні технології. Віруси та "троянські коні" - це різні класи "ворожого" програмного коду. Віруси впроваджуються в інші програми з метою виконання закладеної в них шкідливої ​​функції на робочій станції кінцевого користувача. Це може бути, наприклад, знищення всіх або тільки певних файлів на вінчестері (найчастіше), псування обладнання (поки екзотика) або інші операції. Часто віруси запрограмовані на спрацювання в певну дату (типовий приклад - знаменитий WinChih, він же "Чорнобиль"), а також на розсилку своїх копій за допомогою електронної пошти на всі адреси, знайдені в адресній книзі користувача. "Троянський кінь", на відміну від вірусу, - самостійна програма, найчастіше не орієнтована на грубе руйнування інформації, властиве вірусам. Зазвичай мета впровадження "троянського коня" - отримання прихованого віддаленого контролю над комп'ютером для того, щоб маніпулювати інформацією, що міститься на ньому. "Троянські коні" успішно маскуються під різні ігри або корисні програми, безліч яких безкоштовно поширюється в Інтернеті. Більше того, хакери іноді вбудовують "троянських коней" у абсолютно "невинні" і користуються гарною репутацією програми. Потрапивши на комп'ютер, "троянський кінь" зазвичай не афішує свою присутність, виконуючи свої функції максимально потай. Така програма може, наприклад, тишком відсилати своєму хазяїнові-хакеру пароль та логін для доступу в Інтернет з даного конкретного комп'ютера; робити та відправляти за закладеною в неї адресою певні файли; відстежувати все, що вводиться з клавіатури і т.д. Більш витончені версії "троянських коней" адаптовані для атаки на конкретні комп'ютери конкретних користувачів, можуть за вказівкою господаря замінювати ті чи інші дані на інші, заздалегідь заготовлені, або видозмінювати дані, що зберігаються у файлах, вводячи тим самим в оману власника комп'ютера. До речі, досить поширений прийом із арсеналу промислового шпигунства та провокацій. Боротьба з вірусами та " троянськими кіньмиведеться за допомогою спеціалізованого програмного забезпечення, причому, грамотно побудований захист забезпечує подвійний контроль: на рівні конкретного комп'ютера і на рівні локальної мережі. Сучасні засобиборотьби зі шкідливим кодом досить ефективні, і практика показує, що глобальні епідемії комп'ютерних вірусів, що регулярно спалахують, відбуваються багато в чому завдяки "людському фактору" - більшість користувачів і багато системних адміністраторів (!) просто лінуються регулярно оновлювати бази даних антивірусних програм і перевіряти на віруси пошту перед її прочитанням (хоча зараз все частіше роблять самі провайдери послуг Інтернет).

Мережева розвідка

Власне кажучи, мережну розвідку не можна назвати атакою на комп'ютерну систему - адже ніяких "шкідливих" дій хакер при цьому не робить. Проте мережева розвідка завжди передує власне нападу, оскільки за його підготовці зловмисникам необхідно зібрати всю доступну інформацію про систему. При цьому інформація збирається з використанням великого набору загальнодоступних даних і програм - адже хакер намагається отримати якомога більше корисної інформації. При цьому проводиться сканування портів, запити DNSехо-тестування розкритих за допомогою DNS адрес і т.д. Так вдається, зокрема, з'ясувати, кому належить той чи інший домен та які адреси цьому домену надано. Ехо-тестування (ping sweep) адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють у цій мережі, а засоби сканування портів дозволяють скласти повний списокпослуг, що підтримуються цими хостами. Аналізуються при проведенні мережевої розвідки та характеристики додатків, що працюють на хостах, — словом, видобувається інформація, яку згодом можна використовувати під час злому або проведення DoS-атаки. Цілком позбутися мережевої розвідки неможливо, насамперед тому, що формально ворожих дій не провадиться. Якщо, наприклад, відключити відлуння ICMP і відлуння на периферійних маршрутизаторах, можна позбутися відлуння, проте при цьому виявляться втрачені дані, які необхідні для діагностики збоїв в Мережі. До того ж, просканувати порти зловмисники можуть і без попереднього тестування. Захисні та контролюючі системи на рівні мережі і хостів зазвичай цілком справляються із завданням повідомлення системного адміністратора про мережну розвідку, що ведеться. При сумлінному ставленні адміністратора до своїх обов'язків це дозволяє краще підготуватися до майбутньої атаки і навіть вжити запобіжних заходів, наприклад, оповіщення провайдера, з мережі якого хтось виявляє надмірну цікавість.

Сніффінг пакетів

Сніффер пакетів є прикладною програмою, яка використовує мережну карту, що працює в режимі promiscuous mode (в цьому режимі всі пакети, отримані по фізичним каналам, мережевий адаптер відправляє програмі для обробки). При цьому сніффер ("нюхач") перехоплює всі мережеві пакети, які передаються через домен, що атакується. Особливість ситуації в цьому випадку в тому, що зараз у багатьох випадках сніфери працюють у мережах на цілком законній підставі — їх використовують для діагностики несправностей та аналізу трафіку. Тому далеко не завжди можна достовірно визначити, чи використовується конкретна програма-сніфер зловмисниками, і чи не відбулося банальної заміни програми на аналогічну, але з "розширеними" функціями. За допомогою сніфера зловмисники можуть дізнатися різну конфіденційну інформацію, таку, наприклад, як імена користувачів та паролі. Пов'язано це з тим, що ряд додатків, що широко використовуються, передає дані в текстовому форматі (telnet, FTP, SMTP, POP3 і т.д.). Оскільки користувачі часто застосовують одні й ті ж логін і пароль для багатьох додатків та систем, навіть одноразове перехоплення цієї інформації несе серйозну загрозу інформаційній безпеці підприємства. Одного разу заволодівши логіном і паролем конкретного співробітника, хитромудрий хакер може отримати доступ до ресурсу користувача на системному рівні і з його допомогою створити нового, фальшивого, користувача, якого можна в будь-який момент використовувати для доступу в Мережу та до інформаційних ресурсів. Втім, використовуючи певний набір коштів, можна суттєво пом'якшити загрозу сніфінгу пакетів. По-перше, це достатньо сильні засобиавтентифікації, які важко обійти, навіть використовуючи "людський фактор". Наприклад, одноразові паролі (One-Time Passwords). Це технологія двофакторної аутентифікації, коли відбувається поєднання того, що у вас є, з тим, що ви знаєте. При цьому апаратний або програмний засіб генерує по випадковим принципомунікальний одноразовий одноразовий пароль. Якщо хакер дізнається цей пароль за допомогою сніфера, ця інформація буде марною, тому що в цей момент пароль буде використаний і виведений з використання. Але це стосується лише паролів — наприклад, повідомлення електронної пошти однаково залишаються незахищеними. Інший спосіб боротьби зі сніфінгом - використання анти-сніферів. Це апаратні або програмні засоби, що працюють в Мережі, і розпізнають сніфери. Вони вимірюють час реагування хостів і визначають, чи не доводиться хостам обробляти "зайвий" трафік. Подібні засоби не можуть повністю ліквідувати загрозу сніфінгу, але життєво необхідні при побудові комплексної системи захисту. Однак найбільш ефективним заходом, на думку ряду фахівців, буде просто зробити роботу сніферів безглуздою. Для цього достатньо захистити передані каналом зв'язку дані сучасними методами криптографії. У результаті хакер перехопить повідомлення, а зашифрований текст, тобто незрозумілу йому послідовність бітів. Наразі найбільш поширеними є криптографічні протоколи IPSec від корпорації Cisco, а також протоколи SSH (Secure Shell) та SSL (Secure Socket Layer).

IP-спуфінг

Спуфінг - це вид атаки, при якій хакер всередині організації або за її межами видає себе за санкціонованого користувача. І тому існують різні способи. Наприклад, хакер може скористатися IP-адресою, що знаходиться в межах діапазону санкціонованих до застосування в рамках Мережі цієї організації IP-адрес, або авторизованою зовнішньою адресою, якщо їй дозволено доступ до певних мережевих ресурсів. До речі, IP-спуфінг часто використовується як складова більш складної, комплексної атаки. Типовий приклад - атака DDoS, для здійснення якої хакер зазвичай розміщує відповідну програму на чужій IP-адресі, щоб приховати свою справжню особу. Однак найчастіше IP-спуфінг використовується для виведення з ладу системи за допомогою хибних команд, а також для викрадення конкретних файлів або, навпаки, введення в бази хибної інформації. Повністю усунути загрозу спуфінгу практично неможливо, але її можна суттєво послабити. Наприклад, має сенс налаштувати системи безпеки таким чином, щоб вони відсікали будь-який трафік, що надходить із зовнішньої мережі з вихідною адресою, який має насправді перебувати в мережі внутрішньої. Втім, це допомагає боротися з IP-спуфінгом лише тоді, коли санкціонованими є лише внутрішні адреси. Якщо є і деякі зовнішні адреси, використання цього методу втрачає сенс. Непогано також про всяк випадок завчасно припинити спроби спуфінгу чужих мереж користувачами вашої мережі - цей захід може дозволити уникнути цілого ряду неприємностей, якщо всередині організації з'явиться зловмисник або комп'ютерний хуліган. Для цього потрібно використовувати будь-який вихідний трафік, якщо його вихідна адреса не відноситься до внутрішнього діапазону IP-адрес організації. За потреби цю процедуру може виконувати і провайдер Інтернет-послуг. Цей тип фільтрації відомий під назвою RFC 2827. Знову ж таки, як і у випадку зі сніффінгом пакетів, найкращим захистом буде зробити атаку абсолютно неефективною. IP-спуфінг може бути реалізований лише за умови, що автентифікація користувачів відбувається на базі IP-адрес. Тому криптошифрування автентифікації робить цей вид атак марними. Втім, замість криптошифрування з тим самим успіхом можна використовувати випадково генеровані одноразові паролі.

Атака на відмову в обслуговуванні

Сьогодні одна з найпоширеніших у світі форм хакерських атак – атака на відмову в обслуговуванні (Denial of Service – DoS). Тим часом, це одна з наймолодших технологій — її здійснення стало можливим лише у зв'язку з дійсно повсюдним розповсюдженням Інтернету. Не випадково про DoS-атаки широко заговорили лише після того, як у грудні 1999 року за допомогою цієї технології було "завалено" web-вузли таких відомих корпорацій, як Amazon, Yahoo, CNN, eBay та E-Trade. Хоча перші повідомлення про щось схоже з'явилися ще 1996 року, до "різдвяного сюрпризу" 1999 року DoS-атаки не сприймалися як серйозна загроза безпеці в Мережі. Однак через рік, у грудні 2000-го, все повторилося: web-вузли найбільших корпорацій були атаковані за технологією DoS, а їхні системні адміністратори знову не змогли протиставити зловмисникам нічого. Ну а 2001 року DoS-атаки стали вже звичайною справою. Власне, DoS-атаки виробляються зовсім не для крадіжки інформації чи маніпулювання нею. Основна їх мета - паралізувати роботу атакованого web-вузла. По суті це просто мережевий тероризм. Тому не випадково американські спецслужби підозрюють, що за багатьма DoS-атаками на сервери великих корпорацій стоять горезвісні антиглобалісти. Справді, одна справа кинути цеглу у вітрину "Макдональдса" десь у Мадриді чи Празі, і зовсім інша — "завалити" сайт цієї суперкорпорації, яка давно вже стала символом глобалізації світової економіки. DoS-атаки небезпечні ще й тим, що для їх розгортання кібертерористам не потрібно мати якісь особливі знання та вміння — все необхідне програмне забезпечення разом з описами самої технології цілком доступне в Інтернеті. До того ж від таких атак дуже складно захиститися. У загальному випадку технологія DoS-атаки виглядає наступним чином: на обраний в якості мішені web-вузол обрушується шквал помилкових запитів з багатьох комп'ютерів по всьому світу. В результаті, сервери, що обслуговують вузол, виявляються паралізовані і не можуть обслуговувати запити звичайних користувачів. При цьому користувачі комп'ютерів, з яких надсилаються помилкові запити, і не підозрюють про те, що їхня машина потай використовується зловмисниками. Такий розподіл "робочого навантаження" не тільки посилює руйнівну дію атаки, але й ускладнює заходи щодо її відображення, не дозволяючи виявити справжню адресу координатора атаки. Сьогодні найчастіше використовуються такі різновиди DoS-атак:

Smurf — ping-запити ICMP (Internet Control Message Protocol) на адресу спрямованої широкомовної розсилки. Використана в пакетах цього запиту фальшива адреса джерела в результаті виявляється мішенню атаки. Системи, отримали спрямований широкомовний ping-запит, відповідають нього і " затоплюють " мережу, де знаходиться сервер-мишень.

• ICMP flood - атака, аналогічна Smurf, тільки без посилення, створюваного запитами за направленою широкомовною адресою.
• UDP flood - відправка на адресу системи-мішені безлічі пакетів UDP (User Datagram Protocol), що призводить до зв'язування мережних ресурсів.
• TCP flood - відправка на адресу системи-мішені множини TCP-пакетів, що також призводить до "зв'язування" мережевих ресурсів.
• TCP SYN flood - при проведенні такого роду атаки видається велика кількість запитів на ініціалізацію TCP-з'єднань з вузлом-мішенню, якому в результаті доводиться витрачати всі свої ресурси на те, щоб відстежувати ці частково відкриті з'єднання.

У разі атаки трафік, призначений для переповнення мережі, що атакується, необхідно "відсікати" у провайдера послуг Інтернет, тому що на вході в Мережу зробити це вже буде неможливо - вся смуга пропускання буде зайнята. Коли атака цього типу проводиться одночасно через безліч пристроїв, йдеться про розподілення атаці DoS(Distributed Denial of Service - DDoS). Загрозу DoS-атак можна знизити кількома способами. По-перше, необхідно правильно налаштувати функції антиспуфінгу на маршрутизаторах і міжмережевих екранах. Ці функції повинні включати, як мінімум, фільтрацію RFC 2827. Якщо хакер не зможе замаскувати свою справжню особистість, він навряд чи зважиться проведення атаки. По-друге, необхідно увімкнути та правильно налаштувати функції анти-DoS на маршрутизаторах та міжмережевих екранах. Ці функції обмежують кількість напіввідкритих каналів, не дозволяючи перевантажувати систему. Також рекомендується при загрозі DoS-атаки обмежити обсяг некритичного трафіку, що проходить по Мережі. Про це потрібно домовлятися зі своїм інтернет-провайдером. Зазвичай обмежується обсяг трафіку ICMP, оскільки він використовується суто для діагностичних цілей.

Атаки типу Man-in-the-Middle

Цей тип атак дуже характерний для промислового шпигунства. При атаці типу Man-in-the-Middle хакер повинен отримати доступ до пакетів, що передаються по Мережі, а тому в ролі зловмисників у цьому випадку часто виступають самі співробітники підприємства або, наприклад, співробітник фірми-провайдера. Для атак Man-in-the-Middle часто використовуються сніфери пакетів, транспортні протоколи та протоколи маршрутизації. Мета подібної атаки, відповідно, - крадіжка або фальсифікація переданої інформації або отримання доступу до ресурсів мережі. Захиститися від подібних атак вкрай складно, оскільки зазвичай це атаки "кроту" всередині самої організації. Тому в чисто технічному плані убезпечити себе можна тільки шляхом криптошифрування даних, що передаються. Тоді хакер замість необхідних даних отримає мішанину символів, розібратися в якій, не маючи під рукою суперкомп'ютера, просто неможливо. Втім, якщо зловмиснику пощастить, і він зможе перехопити інформацію про сесію криптографічної, шифрування даних автоматично втратить усілякий зміст. Тож "на передньому краї" боротьби в даному випадку мають бути не "технарі", а кадровий відділ і служба безпеки підприємства.

Використання "дір" і "багів" у ПЗ

Дуже поширений тип хакерських атак - використання вразливих місць (найчастіше банальних недоробок) у широко використовуваному програмному забезпеченні, перш за все для серверів. Особливо "славиться" своєю ненадійністю та слабкою захищеністю ПЗ від Microsoft. Зазвичай ситуація розвивається так: хтось виявляє "дірку" або "баг" у програмному забезпеченні для сервера та публікує цю інформацію в Інтернеті у відповідній конференції. Виробник цього ПЗ випускає патч ("латку"), що усуває цю проблему, і публікує його на своєму web-сервері. Проблема в тому, що далеко не всі адміністратори, через елементарну лінощі, постійно стежать за виявленням і появою патчів, та й між виявленням "дірки" і написанням "латки" теж якийсь час проходить: Хакери теж читають тематичні конференції і, треба віддати їм належне, дуже вміло застосовують отриману інформацію практично. Не випадково більшість провідних світових фахівців з інформаційної безпеки — колишні хакери.

Основна мета подібної атаки - отримати доступ до сервера від імені користувача, що працює з програмою, зазвичай з правами системного адміністратора та відповідним рівнем доступу. Захиститися від таких атак досить складно. Одна з причин, окрім низькоякісного ПЗ, полягає в тому, що під час проведення подібних атак зловмисники часто користуються портами, яким дозволено прохід через міжмережевий екрані які не можуть бути закриті з суто технологічних причин. Тож найкращий захист у даному випадку — грамотний та сумлінний системний адміністратор.

Чи то ще буде…

Разом з розширенням посівів будь-якої сільськогосподарської культури завжди збільшується і чисельність комах-шкідників цієї культури. Так і з розвитком інформаційних технологій та проникненням їх у всі сфери сучасного життя зростає кількість зловмисників, які активно ці технології використовують. Тому в найближчому майбутньому питання захисту комп'ютерних мереж ставатимуть все більш актуальними. Причому захист вестиметься за двома основними напрямками: технологічним і консалтинговим. Що ж до основних тенденцій розвитку галузі захисту інформації, то, на думку фахівців відомої компанії The Yankee Group, у найближчі роки вони будуть такі:

1. Акцент під час побудови захисних системплавно переміщатиметься — від протидії "зовнішнім" хакерським нападам до захисту від нападів "зсередини".

2. Розвиватимуться та вдосконалюватимуться апаратні засоби захисту від хакерських атак. На ринку з'явиться новий клас мережевого обладнання – "захисні сервісні комутатори". Вони зможуть забезпечувати комплексний захист комп'ютерних мереж, тоді як сучасні пристрої зазвичай виконують досить обмежений набір конкретних функцій, а основна вага все одно лягає на спеціалізоване програмне забезпечення.

3. Стрімкий розвиток забезпечено ринку послуг із захищеної доставки цифрового контенту та захисту самого контенту від нелегального копіювання та несанкціонованого використання. Паралельно з розвитком ринку захищеної доставки розвиватимуться й відповідні технології. Обсяг цього ринку фахівці The Yankee Group оцінюють у 200 млн дол. за підсумками 2001 року і прогнозують зростання до 2 млрд дол. до 2005 року.

4. Набагато ширше застосовуватимуться системи біометричної аутентифікації (за сітківкою ока, відбитками пальців, голосом тощо), у тому числі й комплексні. У повсякденне корпоративне життя увійде багато чого з того, що зараз можна побачити хіба що в гостросюжетних кінофільмах.

5. До 2005 року левову частку послуг безпеки надаватимуть своїм клієнтам інтернет-провайдери. Причому основними клієнтами стануть компанії, бізнес яких будується саме на інтернет-технологіях, тобто активні споживачі послуг web-хостингу, систем електронної комерції тощо.

6. Швидке зростання очікує ринок інтелектуальних послуг мережного захисту. Це пов'язано з тим, що нові концепції захисту IT-систем від хакерів акцентують увагу не стільки на реагування на події/атаки, що вже відбулися, а на їх прогнозування, попередження та проведення випереджувальних та профілактичних заходів.

7. Суттєво підвищиться попит на комерційні системи криптошифрування даних, що передаються, включаючи "індивідуальні" розробки для конкретних компаній з урахуванням їх сфер діяльності.

8. На ринку рішень з IT-безпеки відбуватиметься поступовий відхід від "систем стандартної комплектації", у зв'язку з чим зросте попит на консалтингові послуги з розробки концепцій інформаційної безпеки та побудови систем управління інформаційною безпекою для конкретних замовників.

На пострадянському просторі також розвивається ринок систем та послуг із забезпечення інформаційної безпеки — хоча й не такими темпами і не в таких масштабах, як на Заході. Як повідомила газета "Комерсант", у Росії на розвиток інформаційної інфраструктури різного типуорганізації витрачають від 1% (металургія) до 30% (фінансовий сектор) власних бюджетів. При цьому витрати на захист становлять поки що лише близько 0,1-0,2% у витратній частині бюджетів. Таким чином, загальний обсяг ринку систем інформаційної безпеки у 2001 році в Росії оцінено експертами у розмірі 40-80 млн. доларів. 2002 року відповідно до даних, закладених у проект Державного бюджету, вони мають становити 60-120 млн доларів. Для порівняння: як продемонстрували останні дослідження IDC, обсяг одного лише європейського ринку продуктів захисту інформації (програмних та апаратних) має зрости з 1.8 мільярда USD у 2000 році до $6.2 мільярда у 2005 році.