В чем слабость твоя?
В чем слабость твоя?
Несмотря на все усилия при построении защиты в компьютерном деле, наиболее уязвимым местом (и наименее предсказуемым) остается человек. К сожалению, при работе на компьютере человек способен только понизить уровень защищенности, если не выполняет определенных требований безопасности. Последние примеры схем распространения вирусов по электронной почте (MуDoom, Bagle и т.д.) показали, что любопытство пользователей активно используется вирусописателями наряду с эксплуатацией известных уязвимостей программных продуктов и что это может повлечь серьезные проблемы для всего интернет-сообщества. Так как проблема человеческого фактора в вопросах безопасности достаточно объемна, то в данной статье мы остановимся только на вопросах, связанных с парольной защитой, и даже в рамках этой темы — только с ее частью — способами хранения конфиденциальной информации.
Немного истории
В первой главе своей книги известный компьютерный взломщик Кевин Митник так описывает особенности проникновения в компьютерную систему корпорации DEC: "…Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из "моих" учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам. Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было "buffoon" [дословно: шут, фигляр] — по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E — DEC'овской системе разработки. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы..."
Несмотря на то, что эта история, описанная Митником, случилась в прошлом тысячелетии, XXI век вполне может соревноваться по анекдотичности ситуаций, при которых беспечность пользователей в отношении своих паролей просто поразительна. На проходившей в апреле 2003 года в Лондоне выставке InfoSecurity Europe 2003 (www.infosec.co.uk) ее организаторы провели ставшее уже традиционным исследование сознательности офисных работников в вопросах безопасности. На столичной станции Waterloo под видом социального опроса предлагалось в обмен на дешевую ручку ответить на ряд вопросов, в том числе назвать свой пароль, а также определить те критерии, по которым он формируется. 90 процентов сразу назвали свой пароль (для сравнения: в 2002 году — 65%). Один из опрошенных вначале отказался назвать свой пароль, сославшись на требования безопасности, однако вскоре выяснилось, что в качестве пароля он использует имя дочери, а немного позже мнимые социологи смогли выяснить и как ее зовут. Согласно полученной в ходе исследования статистике паролем часто являлось слово "password" (12%), а другими популярными категориями были собственное имя (16%), название любимой футбольной команды (11%) и дата рождения (8%). Две трети опрошенных дали свой пароль коллеге (показатель аналогичен 2002 году), а три четверти знали пароли своих сослуживцев. Дополнительно к использованию пароля для доступа к своей информации в компании две трети использовали тот же пароль везде включая их персональные банковские счета, централизованный доступ в Web и т.п.
Настораживает то, что некоторые методы взлома, использованные еще Кевином Митником в процессе своей криминальной деятельности, вполне работают и сегодня. В марте с.г. в прессе была опубликована информация о задержании москвича-мошенника, который торговал секретными PIN-кодами карточек экспресс-оплаты доступа к сети Интернет, при этом часть этих карточек даже еще не поступала в продажу. Как показало расследование, "все карточки экспресс-оплаты изготавливались на коммерческой типографии. В процессе изготовления некоторые карточки получались бракованными и уничтожались ненадлежащим способом, после чего просто выбрасывались на территории типографии", — отметили в пресс-службе. Молодой человек работал в одном из офисов, расположенных на территории типографии, где и подбирал остатки карточек, среди которых и были карточки указанной компании, а также многих других интернет-провайдеров, операторов IP-телефонии и сотовой связи. Собрав и сложив обрезки, он получил секретные PIN-коды.
Идентификатор eToken R2
USB-устройство персонального биометрического контроля доступа к компьютеру компании APC
Что же делать?
Факты человеческой беспечности будут присутствовать в нашей жизни всегда. Однако вернемся все же к теме статьи. Попытаемся ответить на вопрос, что реально можно предпринять для решения проблем безопасности пользователей при использовании паролей.
Одно из направлений работы может быть связано с ужесточением требований административного характера. Стандартной мерой является введение ограничения смены пароля через каждые три месяца, полгода, год, а также установка ограничения на сложность пароля в политиках безопасности операционной системы или на уровне домена (для Windows см. "Пароли должны отвечать требованиям сложности" или "Passwords must meet complexity requirements"). При этом, помимо иных требований, будет проверяться, не содержат ли пароли части имени пользователя, и не используется ли оно в качестве пароля. Также обязательным станет наличие заглавных букв, прописных букв и неалфавитных символов. Кроме того, будет проводиться проверка соблюдения минимальной длины пароля — 6 символов.
Можно не сомневаться, что итогом такой профилактической работы по повышению уровня защиты паролей станет практика сохранения паролей на листочке (возможно, даже для лучшей защиты бумага с паролем дополнительно будет помещаться в сейф). Кроме того, администраторы получат дополнительную головную боль от обращений пользователей, забывших свои пароли (не секрет, что некоторые пользователи не помнят даже своего имени для входа в сеть). Однако давайте задумаемся о том, в чем же заключается суть проблемы при работе пользователей с паролем. Для этого сформируем основные свойства пароля, которые влекут за собой предпосылки к утечке конфиденциальных данных:
— Адаптированное для восприятия человеком представление. Пароль — это определенная комбинация, которую человек в состоянии запомнить и, соответственно, может забыть или раскрыть кому-либо.
— Возможность копирования. Пароль в его современном виде может быть продублирован различными способами. Контроль за этими процессами наладить невозможно.
Следовательно, повышение надежности защиты пользователей может обеспечить отсутствие указанных свойств в ситуациях, когда необходима идентификация и аутентификация пользователей. Если человек не в состоянии запомнить информацию для доступа в сеть, значит, он не сможет ее никому раскрыть, даже под принуждением. Если информацию для доступа в сеть невозможно продублировать, значит, владелец и администратор могут ее гарантированно контролировать. Такими свойствами обладает ряд технологий, которые могут быть использованы в тех случаях, когда необходим ввод пароля. Далее попробуем систематизировать информацию о существующих в настоящее время подходах, которые могут придти на смену общепринятым паролям.
USB-ключи
Наиболее перспективной альтернативой паролям остается использование для аутентификации пользователя USB-ключей, которые напрямую подключаются к компьютеру через порт USB (Universal Serial Bus). Размер таких устройств позволяет носить их в связке с обычными домашними ключами. Они не требуют дополнительных считывателей, имеют встроенную память 8/16/32/64 Кб для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети. Все известные USB-ключи имеют уникальный серийный номер (32/64 бита). Данные на USB-ключе дополнительно защищаются с использованием т.н. PIN-кода. Кроме того, в функциональность USB-ключей включен генератор случайных чисел. С использованием таких устройств можно обеспечить работу с инфраструктурой открытых ключей — PKI. При этом весь процесс генерации вашего личного криптографического ключа, формирование электронной цифровой подписи никогда не выйдет за пределы USB-брелока (в случае аппаратной реализации криптоалгоритмов). В среднем стоимость USB-устройств составляет $30-50 в зависимости от размещенного объема памяти и реализованных функций.
К наиболее часто встречаемым на рынке СНГ USB-ключам относятся следующие продукты:
— iKey компании Rainbow Technologies (http://www.rainbow.msk.ru/);
— eToken компании "Аладдин" (www.aladdin.ru).
Заметим, что недавно в прессе появилась информация о выпуске Rainbow Technologies нового гибридного устройства под названием RfiKey, совмещающего в себе USB-идентификатор iKey и технологии контроля доступа в здания с использованием бесконтактных (т.н. proximity) карт на частоте 125 КГц от HID Corporation в единое устройство для безопасного доступа в здания и доступа к защищенным данным.
Несмотря на все свои преимущества, USB-ключи обладают и недостатками. Основными проблемами, с которыми можно столкнуться при использовании USB-ключей, являются:
— поддержка в USB-ключах государственных криптографических алгоритмов электронно-цифровой подписи и шифрования (обычно в USB-ключах и программном обеспечении поддерживается работа только RSA- и DES-алгоритмов);
— наличие аппаратной реализации криптографических операций (стойкость системы, построенной на основе ключей с программной реализацией, на порядок ниже, т.к. критические операции будут выполняться на вашем компьютере и потребуют извлечения из ключей в память компьютера секретных составляющих).
Биометрические устройства
К биометрическим технологиям относятся распознавание индивидуальных особенностей пальца, рисунка радужной оболочки глаза, голоса, лица, фигуры человека. Согласно приведенной ниже статистике, наиболее распространенным объектом биометрической идентификации пока остается палец.
Биометрия — серьезный конкурент USB-ключам, и значительные успехи в этой области ожидались уже в 2003 году. Однако ряд негативных моментов не позволил прогнозам сбыться. Одним из основных препятствий развитию рынка биометрических технологий специалисты считают отсутствие стандартов в этой отрасли. Серьезным препятствием до последнего времени являлась очень высокая стоимость изделий (около $150). Недавно в прессе появилась информация о том, что компания APC выпустила компактное устройство персонального биометрического контроля доступа к компьютеру, которое должно появиться в продаже в марте 2004 года по цене $50. Не секрет, что в последнее время биометрией серьезно заинтересовались правительства различных государств, что может свидетельствовать о хороших перспективах развития этой отрасли. Вот только краткая информация за 2004 год.
Евросоюз
20 февраля Еврокомиссия приняла предложения о включении биометрических данных в паспорта граждан Евросоюза. Согласно этим предложениям, все граждане стран ЕС, а также иностранцы, пребывающие в ЕС, должны будут пройти идентификацию 1800 характеристик лица, отпечатков пальцев для записи их в Шенгенскую Информационную Систему (SIS II). Аналогичные данные будут записаны в микрочип на паспортах.
Россия
МВД России приступило к разработке новых загранпаспортов, содержащих биометрические данные. Основное их отличие от ныне действующих заключается в том, что документы нового поколения будут содержать в электронной форме сведения о биометрических данных их владельцев. На сегодняшний день в качестве биометрических данных, подлежащих обязательному внесению в заграничные документы, странами "восьмерки" предварительно определены закодированное изображение лица и отпечатков пальцев их владельцев.
США
Программа VISIT, представленная Департаментом внутренней безопасности США, требует от всех претендентов на въездную визу иметь биометрическую информацию в паспортах к октябрю 2004 года.
Британия
Предполагается, что будет создана централизованная база данных обо всех жителях Соединенного Королевства и введены обязательные биометрические идентификационные карты, которые должны будут включать рисунок радужной оболочки глаза, отпечатки пальцев или ладони. На первом этапе планируется включить биометрическую информацию в паспорта и водительские удостоверения граждан Британии. Кроме того, предполагается выдача идентификационных карточек гражданам ЕС и другим иностранным гражданам, проживающим в Великобритании. Идентификационные карты будут также предлагаться в качестве дополнительного документа гражданам, не имеющим паспорта или водительского удостоверения.
Китай
Новые паспорта граждан должны включать информацию о рисунке отпечатков пальцев и сетчатке глаза. Помимо этого, предполагается, что удостоверение личности будет содержать 18-битный код с генетической информацией о владельце. Для перехода на новые паспорта Китаю, по оценкам официальных лиц, понадобится пять-шесть лет.
К недостаткам технологии биометрической аутентификации можно отнести пока еще высокую стоимость таких изделий, а также необходимость дополнительного устройства считывания биометрических данных, что является определенным неудобством при их использовании.
Максим Костышин, maxim_kostyshin@mail.ru
Окончание следует
Несмотря на все усилия при построении защиты в компьютерном деле, наиболее уязвимым местом (и наименее предсказуемым) остается человек. К сожалению, при работе на компьютере человек способен только понизить уровень защищенности, если не выполняет определенных требований безопасности. Последние примеры схем распространения вирусов по электронной почте (MуDoom, Bagle и т.д.) показали, что любопытство пользователей активно используется вирусописателями наряду с эксплуатацией известных уязвимостей программных продуктов и что это может повлечь серьезные проблемы для всего интернет-сообщества. Так как проблема человеческого фактора в вопросах безопасности достаточно объемна, то в данной статье мы остановимся только на вопросах, связанных с парольной защитой, и даже в рамках этой темы — только с ее частью — способами хранения конфиденциальной информации.
Немного истории
В первой главе своей книги известный компьютерный взломщик Кевин Митник так описывает особенности проникновения в компьютерную систему корпорации DEC: "…Представившись как Антон Чернофф, который был одним из ведущих разработчиков проекта, я сделал простой звонок системному администратору. Я притворился, что не могу зайти через одну из "моих" учетных записей, и был достаточно убедительным, чтобы приказать парню дать мне доступ и позволить выбрать такой пароль, какой я выберу сам. Во время входа по удаленному телефонному доступу пользователь должен дать также и пароль, что было дополнительным уровнем защиты. Системный администратор сказал мне пароль. Это слово было "buffoon" [дословно: шут, фигляр] — по-моему, это то, кем он должен был себя почувствовать, когда понял все, что произошло. Я получил доступ к RSTS/E — DEC'овской системе разработки. И я вошел не как рядовой пользователь, а со всеми привилегиями разработчика системы..."
Несмотря на то, что эта история, описанная Митником, случилась в прошлом тысячелетии, XXI век вполне может соревноваться по анекдотичности ситуаций, при которых беспечность пользователей в отношении своих паролей просто поразительна. На проходившей в апреле 2003 года в Лондоне выставке InfoSecurity Europe 2003 (www.infosec.co.uk) ее организаторы провели ставшее уже традиционным исследование сознательности офисных работников в вопросах безопасности. На столичной станции Waterloo под видом социального опроса предлагалось в обмен на дешевую ручку ответить на ряд вопросов, в том числе назвать свой пароль, а также определить те критерии, по которым он формируется. 90 процентов сразу назвали свой пароль (для сравнения: в 2002 году — 65%). Один из опрошенных вначале отказался назвать свой пароль, сославшись на требования безопасности, однако вскоре выяснилось, что в качестве пароля он использует имя дочери, а немного позже мнимые социологи смогли выяснить и как ее зовут. Согласно полученной в ходе исследования статистике паролем часто являлось слово "password" (12%), а другими популярными категориями были собственное имя (16%), название любимой футбольной команды (11%) и дата рождения (8%). Две трети опрошенных дали свой пароль коллеге (показатель аналогичен 2002 году), а три четверти знали пароли своих сослуживцев. Дополнительно к использованию пароля для доступа к своей информации в компании две трети использовали тот же пароль везде включая их персональные банковские счета, централизованный доступ в Web и т.п.
Настораживает то, что некоторые методы взлома, использованные еще Кевином Митником в процессе своей криминальной деятельности, вполне работают и сегодня. В марте с.г. в прессе была опубликована информация о задержании москвича-мошенника, который торговал секретными PIN-кодами карточек экспресс-оплаты доступа к сети Интернет, при этом часть этих карточек даже еще не поступала в продажу. Как показало расследование, "все карточки экспресс-оплаты изготавливались на коммерческой типографии. В процессе изготовления некоторые карточки получались бракованными и уничтожались ненадлежащим способом, после чего просто выбрасывались на территории типографии", — отметили в пресс-службе. Молодой человек работал в одном из офисов, расположенных на территории типографии, где и подбирал остатки карточек, среди которых и были карточки указанной компании, а также многих других интернет-провайдеров, операторов IP-телефонии и сотовой связи. Собрав и сложив обрезки, он получил секретные PIN-коды.
Идентификатор eToken R2
USB-устройство персонального биометрического контроля доступа к компьютеру компании APC
Что же делать?
Факты человеческой беспечности будут присутствовать в нашей жизни всегда. Однако вернемся все же к теме статьи. Попытаемся ответить на вопрос, что реально можно предпринять для решения проблем безопасности пользователей при использовании паролей.
Одно из направлений работы может быть связано с ужесточением требований административного характера. Стандартной мерой является введение ограничения смены пароля через каждые три месяца, полгода, год, а также установка ограничения на сложность пароля в политиках безопасности операционной системы или на уровне домена (для Windows см. "Пароли должны отвечать требованиям сложности" или "Passwords must meet complexity requirements"). При этом, помимо иных требований, будет проверяться, не содержат ли пароли части имени пользователя, и не используется ли оно в качестве пароля. Также обязательным станет наличие заглавных букв, прописных букв и неалфавитных символов. Кроме того, будет проводиться проверка соблюдения минимальной длины пароля — 6 символов.
Можно не сомневаться, что итогом такой профилактической работы по повышению уровня защиты паролей станет практика сохранения паролей на листочке (возможно, даже для лучшей защиты бумага с паролем дополнительно будет помещаться в сейф). Кроме того, администраторы получат дополнительную головную боль от обращений пользователей, забывших свои пароли (не секрет, что некоторые пользователи не помнят даже своего имени для входа в сеть). Однако давайте задумаемся о том, в чем же заключается суть проблемы при работе пользователей с паролем. Для этого сформируем основные свойства пароля, которые влекут за собой предпосылки к утечке конфиденциальных данных:
— Адаптированное для восприятия человеком представление. Пароль — это определенная комбинация, которую человек в состоянии запомнить и, соответственно, может забыть или раскрыть кому-либо.
— Возможность копирования. Пароль в его современном виде может быть продублирован различными способами. Контроль за этими процессами наладить невозможно.
Следовательно, повышение надежности защиты пользователей может обеспечить отсутствие указанных свойств в ситуациях, когда необходима идентификация и аутентификация пользователей. Если человек не в состоянии запомнить информацию для доступа в сеть, значит, он не сможет ее никому раскрыть, даже под принуждением. Если информацию для доступа в сеть невозможно продублировать, значит, владелец и администратор могут ее гарантированно контролировать. Такими свойствами обладает ряд технологий, которые могут быть использованы в тех случаях, когда необходим ввод пароля. Далее попробуем систематизировать информацию о существующих в настоящее время подходах, которые могут придти на смену общепринятым паролям.
USB-ключи
Наиболее перспективной альтернативой паролям остается использование для аутентификации пользователя USB-ключей, которые напрямую подключаются к компьютеру через порт USB (Universal Serial Bus). Размер таких устройств позволяет носить их в связке с обычными домашними ключами. Они не требуют дополнительных считывателей, имеют встроенную память 8/16/32/64 Кб для хранения персональной информации и удостоверений личности, а также независимый процессор для аутентификации и защиты данных при работе в сети. Все известные USB-ключи имеют уникальный серийный номер (32/64 бита). Данные на USB-ключе дополнительно защищаются с использованием т.н. PIN-кода. Кроме того, в функциональность USB-ключей включен генератор случайных чисел. С использованием таких устройств можно обеспечить работу с инфраструктурой открытых ключей — PKI. При этом весь процесс генерации вашего личного криптографического ключа, формирование электронной цифровой подписи никогда не выйдет за пределы USB-брелока (в случае аппаратной реализации криптоалгоритмов). В среднем стоимость USB-устройств составляет $30-50 в зависимости от размещенного объема памяти и реализованных функций.
К наиболее часто встречаемым на рынке СНГ USB-ключам относятся следующие продукты:
— iKey компании Rainbow Technologies (http://www.rainbow.msk.ru/);
— eToken компании "Аладдин" (www.aladdin.ru).
Заметим, что недавно в прессе появилась информация о выпуске Rainbow Technologies нового гибридного устройства под названием RfiKey, совмещающего в себе USB-идентификатор iKey и технологии контроля доступа в здания с использованием бесконтактных (т.н. proximity) карт на частоте 125 КГц от HID Corporation в единое устройство для безопасного доступа в здания и доступа к защищенным данным.
Несмотря на все свои преимущества, USB-ключи обладают и недостатками. Основными проблемами, с которыми можно столкнуться при использовании USB-ключей, являются:
— поддержка в USB-ключах государственных криптографических алгоритмов электронно-цифровой подписи и шифрования (обычно в USB-ключах и программном обеспечении поддерживается работа только RSA- и DES-алгоритмов);
— наличие аппаратной реализации криптографических операций (стойкость системы, построенной на основе ключей с программной реализацией, на порядок ниже, т.к. критические операции будут выполняться на вашем компьютере и потребуют извлечения из ключей в память компьютера секретных составляющих).
Биометрические устройства
К биометрическим технологиям относятся распознавание индивидуальных особенностей пальца, рисунка радужной оболочки глаза, голоса, лица, фигуры человека. Согласно приведенной ниже статистике, наиболее распространенным объектом биометрической идентификации пока остается палец.
Биометрия — серьезный конкурент USB-ключам, и значительные успехи в этой области ожидались уже в 2003 году. Однако ряд негативных моментов не позволил прогнозам сбыться. Одним из основных препятствий развитию рынка биометрических технологий специалисты считают отсутствие стандартов в этой отрасли. Серьезным препятствием до последнего времени являлась очень высокая стоимость изделий (около $150). Недавно в прессе появилась информация о том, что компания APC выпустила компактное устройство персонального биометрического контроля доступа к компьютеру, которое должно появиться в продаже в марте 2004 года по цене $50. Не секрет, что в последнее время биометрией серьезно заинтересовались правительства различных государств, что может свидетельствовать о хороших перспективах развития этой отрасли. Вот только краткая информация за 2004 год.
Евросоюз
20 февраля Еврокомиссия приняла предложения о включении биометрических данных в паспорта граждан Евросоюза. Согласно этим предложениям, все граждане стран ЕС, а также иностранцы, пребывающие в ЕС, должны будут пройти идентификацию 1800 характеристик лица, отпечатков пальцев для записи их в Шенгенскую Информационную Систему (SIS II). Аналогичные данные будут записаны в микрочип на паспортах.
Россия
МВД России приступило к разработке новых загранпаспортов, содержащих биометрические данные. Основное их отличие от ныне действующих заключается в том, что документы нового поколения будут содержать в электронной форме сведения о биометрических данных их владельцев. На сегодняшний день в качестве биометрических данных, подлежащих обязательному внесению в заграничные документы, странами "восьмерки" предварительно определены закодированное изображение лица и отпечатков пальцев их владельцев.
США
Программа VISIT, представленная Департаментом внутренней безопасности США, требует от всех претендентов на въездную визу иметь биометрическую информацию в паспортах к октябрю 2004 года.
Британия
Предполагается, что будет создана централизованная база данных обо всех жителях Соединенного Королевства и введены обязательные биометрические идентификационные карты, которые должны будут включать рисунок радужной оболочки глаза, отпечатки пальцев или ладони. На первом этапе планируется включить биометрическую информацию в паспорта и водительские удостоверения граждан Британии. Кроме того, предполагается выдача идентификационных карточек гражданам ЕС и другим иностранным гражданам, проживающим в Великобритании. Идентификационные карты будут также предлагаться в качестве дополнительного документа гражданам, не имеющим паспорта или водительского удостоверения.
Китай
Новые паспорта граждан должны включать информацию о рисунке отпечатков пальцев и сетчатке глаза. Помимо этого, предполагается, что удостоверение личности будет содержать 18-битный код с генетической информацией о владельце. Для перехода на новые паспорта Китаю, по оценкам официальных лиц, понадобится пять-шесть лет.
К недостаткам технологии биометрической аутентификации можно отнести пока еще высокую стоимость таких изделий, а также необходимость дополнительного устройства считывания биометрических данных, что является определенным неудобством при их использовании.
Максим Костышин, maxim_kostyshin@mail.ru
Окончание следует
Компьютерная газета. Статья была опубликована в номере 13 за 2004 год в рубрике безопасность :: разное