Уязвимости конфигурации
Последняя причина возникновения уязвимостей — ошибки конфигурации программного или аппаратного обеспечения. Этот вид наряду с уязвимостями реализации является самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно отнести, например, доступный, но не используемый на узле сервис Telnet, разрешение "слабых" паролей или паролей длиной менее 6 символов, учетные записи (accounts) и пароли, остановленные по умолчанию (например, SYSADM или DBSNMP в СУБД Oracle), и т. д. Локализовать и исправить такие уязвимости проще всего (табл. 2.2). Основная проблема — определить, является конфигурация уязвимой или нет?
Таблица 2.2. Возможности по обнаружению и устранению уязвимостей
| Категория уязвимости | Обнаружение | Устранение |
| Уязвимости проектирования | Трудно и долго | Трудно и долго (иногда невозможно) |
| Уязвимости реализации | Относительно трудно и долго | Легко, но относительно долго |
| Уязвимости конфигурации | Легко и быстро | Легко и быстро |
Взломана база данных компании Western Union
Как сообщило агентство Росбизнесконсалтинг, 8 сентября 2000 г. компания Western Union, специализирующаяся на денежных переводах, объявила о том, что из-за "человеческого фактора" неизвестному злоумышленнику удалось скопировать информацию о кредитных карточках около 15,7 тысяч клиентов ее Web-сайта. Представитель Western Union сообщил, что взлом произошел, когда во время проведения регламентных работ были открыты системные файлы, доступ к которым во время штатной работы сайта имеют только администраторы. Western Union настаивает, что это не проблема архитектуры системы защиты, это была ошибка персонала.
По статистике, опубликованной в 1998 году институтом SANS, пятерка наиболее распространенных уязвимостей (если быть точнее, то групп уязвимостей) выглядит следующим образом:
1. Выслеживание информации (network snooping), особенно паролей и иной
конфиденциальной информации.
2. Переполнение буфера (buffer overflow), приводящее к удаленному выполнению произвольных команд.
3. Уязвимости системы защиты узлов, например, уязвимости сценариев
CGI или ошибки в sendmail.
4. Подверженность атакам типа "отказ в обслуживании" ("Denial of service").
5. Допустимость загрузки враждебного кода, к которому помимо программ типа "троянский конь" (Trojan) или вирусов можно отнести апплеты Java и элементы управления ActiveX.
Можно заметить, что в первую пятерку вошли все три категории уязвимостей. Выслеживание паролей возможно благодаря отсутствию механизмов шифрования в стандартных протоколах Internet (FTP, Telnet, POP3, HTTP и т. д.). Переполнение буфера, уязвимости защиты узлов и подверженность атакам типа "отказ в обслуживании" могут быть отнесены к разряду уязвимостей реализации и конфигурации. Ну и, наконец, возможность загрузки враждебного кода может быть причислена к разряду уязвимостей конфигурации.
Интересно, что в 2001 году пятерка лидеров обновилась, что лишний раз подтверждает тезис о динамичности изменения сетевых технологий, в том числе и в области информационной безопасности [SANS 1-01]. Вот она:
1. Слабости BIND (nxt, qinv и in.named).
2. Уязвимые CGI-сценарии и расширения приложений (например, ColdFusion), установленные на Web-сервере.
3. Уязвимости RPC.
4. Уязвимости Remote Data Services (RDS) в Microsoft Internet Information
Server.
5. Переполнение буфера в почтовой программе sendmail.
Эта пятерка частично совпадает с исследованиями компании ISS [ISS2-00]:
1. Подверженность атакам типа "отказ в обслуживании" (в том числе и распределенным атакам этого типа).
2. "Слабые" учетные записи (для серверов, маршрутизаторов и т. д.).
3. Уязвимости ПО MS IIS (Microsoft Internet Information Server).
4. Уязвимости СУБД (неправильные права доступа к расширенным хранимым процедурам, пароли, заданные по умолчанию и т. д.).
5. Приложения eCommerce (Netscape FastTrack, MS FrontPage и др.).
ОС Windows NT превалирует в Internet
2 октября 2000 года рейтинговое агентство "Эксперт РА" при помощи аналитического агентства NetCraft (http://www.netcraft.com/whats/) провело анализ платформ, под управлением которых работают российские internet-магазины. В результате выяснилось следующее:
• 3 из 4 самых крупных российских Internet-магазинов функционируют под
управлением ОС Windows NT;
• больше половины магазинов, имеющих высокий потенциал, работают под
управлением ОС Windows NT/Windows 2000;
• 41% всех магазинов российского сегмента Internet базируются на платформе Windows.
Атаки
До сих пор у профессионалов в области информационной безопасности нет точного определения термина "атака" (вторжение — intrusion, нападение). Каждый специалист в области безопасности трактует его по-своему. Например, "вторжение — это любое действие, переводящее систему из безопасного состояния в опасное". Встречаются и такие определения: "вторжение — это любое нарушение политики безопасности" или "любое действие, приводящее к нарушению целостности, конфиденциальности и доступности системы и информации, в ней обрабатываемой". Однако я считаю более правильным применение нижеприведенного термина, которое тесно увязано с термином "уязвимость". Атакой (attack) на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. Необходимо отметить, что в данной книге практически не рассмотрены такие атаки, как "social engineering", которые также могут использоваться для компрометации ИС.