File engine/modules/ed-shortbar/bar.php not found.
Библиотека книг онлайн
  Добавить в Избранное   Сделать Стартовой  
книги
 
  Search  
электронная библиотека
онлайн библиотека
Главная     |     Регистрация     |     Мобильная версия сайта     |     Обратная связь     |     Карта сайта    |     RSS 2.0
библиотека
     
» Брюс Шнайер Секреты и ложь. Безопасность данных в цифровом мире

 

Брюс Шнайер Секреты и ложь. Безопасность данных в цифровом мире

Глава 19 Моделирование угроз и оценки риска

Моделирование угроз – это первый шаг в решении проблемы безопасности. Это попытка осмыслить информацию, которую можно извлечь из ландшафта уязвимых мест. Что может оказаться реальной угрозой для системы? Если вы не знаете этого, как вы можете определить, какие меры противодействия нужно использовать?

Моделирование угроз – трудное дело, и успех в нем приходит только с опытом. Для его осуществления необходимо использовать системный подход и хорошо представлять себе все особенности ландшафта. Как лучше провести нападение на систему? Я нахожу, что истинные хакеры весьма искусны в решении этого вопроса, и может быть, компьютеры их привлекают в первую очередь именно возможностями интеллектуальной игры. Хакеры получают удовольствие, размышляя о недостатках систем: как можно их одолеть, почему это возможно и что при этом будет происходить? Они испытывают наслаждение, заставляя систему делать то, для чего она не была предназначена. Те же чувства испытывает умелец, способный переделать двигатель своего автомобиля, чтобы он работал так, как ему хочется, а не так, как предполагал его производитель. Такое же удовольствие получает хакер, взламывающий брандмауэр через Интернет, чтобы убедиться в том, что он способен «овладеть» чужим компьютером.

Я пришел к выводу, что наилучшими экспертами в области безопасности являются люди, исследующие несовершенства защитных мер. Они идут на избирательный участок, размышляя о том, как можно было бы в обход установленного контроля проголосовать дважды. Когда они пользуются телефонной карточкой, они думают о средствах защиты от мошенников и о том, как можно их обойти. Эти размышления вовсе не обязательно подталкивают их к конкретным действиям, и если они обнаруживают, например, появившееся «слепое пятно» в системе видеонаблюдения в магазине, это не означает, что они тут же предпримут попытку кражи.

Моделирование угроз имеет с описанной ситуацией много общего, и единственный способ изучить проблему – это практика. Начнем с кражи блинов.

Наша цель – поесть бесплатно в местном ресторанчике. Для этого у нас есть много возможностей. Можно поесть и убежать. Можно расплатиться подложной кредитной картой, фальшивыми чеком или наличными. Можно выманить посетителя из ресторана и съесть его блюдо. Можно прикинуться (а то и стать на самом деле) поваром, официантом, управляющим или хозяином (которого видели всего лишь несколько работников). Можно стащить тарелку с чужого столика или из устройства для подогрева, опередив официанта. Можно подождать у мусорного бака, когда вынесут выбрасывать объедки. Можно включить пожарную сигнализацию и вволю попировать в полном одиночестве. Можно представиться управляющему некоей знаменитостью, могущей рассчитывать на бесплатный завтрак, или найти доверчивого клиента, которого можно уговорить заплатить за нас. Можно ограбить кого-нибудь поблизости от ресторана и расплатиться за еду. Можно подделать талон на бесплатное обслуживание. А кроме того, есть освященная веками традиция – ворваться с ружьем и прокричать: «Гоните сюда все ваши блины!».

Вероятно, существует множество других возможностей, но у нас уже есть общее представление. Взглянув на приведенный перечень, не так трудно понять, что большинству нападающих ничего не нужно делать в тот момент, когда деньги переходят из рук в руки. Это любопытно, поскольку означает, что безопасность системы платежей не защищает от кражи блинов.

Подобная ситуация складывается и в цифровом мире. Представим себе хранилище блинов в Веб – большинству нападающих не придется иметь дело с системой электронных платежей. Существует множество других уязвимых мест. (Вспомните изящное нападение через веб-страницу на корзину для покупок, описанное в главе 10, когда нападающий мог изменять цены товаров произвольным образом. Здесь кроется возможность для подобного нападения: можно изменить прейскурант таким образом, что блин будет стоить 0,00 долларов.) Наиболее успешные нападения редко проводятся на физическом уровне.
Честные выборы

Перейдем к более значительным и интересным проблемам. Займемся проведением выборов. Это будут местные выборы – мэра города. Жульничество на выборах старо, как сами выборы. Насколько это трудно?

Предположим, имеется дюжина избирательных округов, в каждом из которых есть свой избирательный участок. На каждом участке присутствуют по три члена избирательной комиссии, которые следят за правильностью голосования. Избиратели получают у них бюллетени, которые потом опускают в урну. В конце дня все бюллетени пересчитываются специальной машиной. Избирательные комиссии всех двенадцати участков сообщают по телефону о результатах голосования в центральную комиссию, где подводятся окончательные их итоги, после чего один из претендентов объявляет о своей победе под дождем конфетти и под громкие звуки оркестра.

Эта система имеет множество уязвимых мест. Можно воздействовать на избирателей, на членов комиссии, можно подобраться к урнам для голосования и счетным машинам, можно дать ложное сообщение по телефону или воздействовать непосредственно на центральную комиссию. Давайте рассмотрим каждый вариант в отдельности.

Подкуп избирателей – освященный временем способ проведения выборов. Эта практика теряется во тьме веков и не имеет места лишь в странах третьего мира. Во время выборов 1996 года в городе Додж Кантри, Джорджия, насчитывающем 17 000 жителей, 21 человек был уличен в различных махинациях при голосовании, в том числе в подкупе избирателей. В большинстве штатов (включая Джорджию) закон запрещает платить избирателям, поэтому политики вынуждены прибегать к другим ухищрениям: они обещают снижение налогов, организацию общественных работ, лоббирование законопроектов и благосклонность Белого Дома. Это эффективный способ, хотя и дорогостоящий.

И на него не стоит полагаться. Использование закрытых кабин для голосования делает невозможным прямой подкуп избирателей. Можно заплатить по 100 долларов каждому из них, чтобы они проголосовали за нужного кандидата, однако войдя в кабину для голосования, они могут отдать свой голос кому пожелают. (Снижение налогов в этом отношении эффективнее, особенно если речь идет о находящемся в должности претенденте: избиратели думают, что, голосуя за него, они добьются еще больших поблажек.) Есть старая история про чикагского политика, скупавшего голоса. Его подручные пачкали черной краской рычаги для голосования[50], соответствовавшие его имени, и получали возможность убедиться в том, что избиратели голосовали именно за него.

Эти виды мошенничества используются также и в том случае, когда применяется преимущественно голосование по почте. В Силиконовой долине от трети до половины всех бюллетеней направляется в избирательную комиссию по почте. В Аризоне даже проводился эксперимент по голосованию через Интернет на предварительных выборах Демократической партии 2000 года. В этом случае опасность состоит в том, что некто может отправиться в бедные кварталы города и скупить целый пакет чистых бюллетеней по 10 долларов за каждый (в Аризоне использовались идентификационные номера (PIN), которые также можно «скупить») – и обитатели этих кварталов будут довольны.

Правящая партия Сингапура нарушает тайну выборов своеобразным способом: территории, на которых проводится голосование, имеют крошечные размеры – вплоть до одного многоквартирного дома. Проконтролировать, как проголосовал отдельный избиратель, невозможно, однако власти откровенно лишают государственного финансирования те районы, жители которых голосуют за оппозицию. Это – вид массового подкупа избирателей.

Предположим, подкуп избирателей нам не по средствам, а кроме того, нас беспокоит, что кто-нибудь может разоблачить в газете наши махинации. А что, если взять избирателя на испуг? Фокус, проделанный мексиканской Институциональной революционной партией, состоял в том, что в отдаленных районах урны для голосования, непроницаемые для любопытных взглядов, устанавливали под деревом, в ветвях которого скрывался головорез, следивший за тем, чтобы избиратели голосовали «правильно».

Можно попытаться одурачить избирательную комиссию. Например, нанять группу артистов, которые будут изображать законных избирателей. Можно сделать так, чтобы некоторые избиратели проголосовали не один раз. Это все действенные методы, но существует защита от них. В Соединенных Штатах члены избирательной комиссии имеют списки законных избирателей, с которыми они сверяются при голосовании и делают соответствующие пометки. На первых общих (нерасовых) выборах в Южной Африке в 1994 году избирателям на руку наносили клеймо несмываемыми чернилами, чтобы лишить их возможности проголосовать дважды. На первых в постсоветский период выборах в Латвии (1990 год) проверяли удостоверения личности, в которых делали отметки о голосовании. Во время выборов 1999 года в Индонезии избирателей заставляли окунать пальцы в чернила. (Предполагалось, что чернила будут держаться все три дня, отведенные для голосования, однако некоторые обнаружили, что краситель смывается.)

Можно направить свои усилия непосредственно на членов избирательной комиссии. Если иметь их своими союзниками, нетрудно добиться потрясающих результатов. Можно внести в списки избирателей кого угодно – в начале двадцатого века многие умершие жители Чикаго регулярно участвовали в выборах – или просто подделать результаты голосования. Во время президентских выборов 1960 года чикагские демократы под руководством мэра Ричарда Дейли, жуткого типа, вовсю мошенничали, манипулируя голосами избирателей в пользу Кеннеди, и в результате Никсон эти выборы проиграл. (Когда республиканцы потребовали провести пересчет голосов в этом штате, демократы в свою очередь потребовали пересчета голосов в других штатах, и, в конце концов, обе стороны сдались.) Подобные вещи имеют место по сей день: на выборах 1996 года в Сенат в штате Иллинойс организация Демократической партии была обвинена в подкупе избирателей, а именно в том, что избиратели голосовали по несколько раз и даже имели место манипуляции с машинами для голосования.

Несмотря на широко распространенную коррупцию в избирательных комиссиях, мошенничество на выборах становится все более трудным делом. Можно попытаться подкупить членов избирательных комиссий, чтобы они закрывали глаза на некоторые вещи, но беда в том, что на каждом участке их трое. Или подкупить одного из них, но нет никакой гарантии в том, что двое других будут столь же сговорчивы. Расходы в этом случае даже превышают те, что связаны с подкупом избирателей, а вероятность того, что средства массовой информации будут поставлены на ноги, гораздо больше.

Что вы скажете насчет урн для голосования? Можно наполнить их фальшивыми бюллетенями, в этом и состоит основная идея мошенничества. Однако важно не перестараться так, чтобы проголосовали, скажем, 130 процентов избирателей. И нужно быть уверенным, что никто ничего не заметит: в некоторых странах третьего мира используют прозрачные избирательные урны, чтобы предотвратить подобные махинации.

Атаковать машину для подсчета голосов еще проще. Это компьютеризированное устройство, и если вредоносная программа сделает так, что не будут учтены голоса за одного из кандидатов, скорее всего этого никто не заметит. Можно попытаться внедрить троянского коня в программный код во время его написания (предполагается, что машина не просто механически подсчитывает голоса, а для этой цели имеется специальная программа). Или же улучить момент, когда никто не работает с машиной, и ввести вредоносный код. Можно одурачить избирательную комиссию, изобразив дело как установку новой версии программы. Существует масса возможностей для такого рода мошенничеств.

Можно намеренно внести опечатки в избирательные бюллетени или сдвинуть рамку на доли дюйма таким образом, что иногда машина не будет учитывать голоса, поданные за оппозицию, и этого никто не заметит. Еще способ: привести машину в негодность; тогда избирательная комиссия будет вынуждена подсчитывать голоса вручную. И тогда подкупленный член комиссии может попытаться сфальсифицировать результат. На президентских выборах в Мексике в 1988 году компьютер «отказал» как раз в тот момент, когда лидировал один из претендентов на президентское кресло. Когда он снова заработал, оказалось, что победил действующий президент… и после этого избирательные бюллетени были быстренько сожжены. Я не хочу бросать тень на мексиканскую избирательную систему, но все это выглядит очень подозрительно.

Центральная избирательная комиссия – наименее подходящее для мошенничества место, так как она у всех на виду. Возможно, злоумышленнику удастся представить неверные сведения по районам, но один из членов избирательной комиссии может это обнаружить. Телефонные переговоры между окружными пунктами и центральным офисом – может быть, этот элемент системы ему удастся использовать в своих целях.

Итак, что же предпочесть? Кажется, наиболее верный путь к успеху – склонить большинство членов избирательной комиссии к тому, чтобы они действовали согласно нашим указаниям. В их власти прибавить и убавить голоса, подменить избирательные урны во время транспортировки; у них есть еще масса других возможностей. Тогда у нас будет доступ к машине для подсчета голосов, в наших силах привести для голосования мнимых избирателей или подбросить в урны фальшивые бюллетени. Вывод, однако, таков: все это осуществить достаточно сложно. Если люди, входящие в состав избирательной комиссии, не зависят полностью от одного из кандидатов – такая ситуация часто встречается в странах третьего мира, но редко в Соединенных Штатах, – сделать это практически невозможно.

Цель этого мысленного эксперимента – показать, что существует множество путей одолеть избирательную систему, и лишь в незначительной степени это имеет отношение к компьютерным системам. Можно взломать программу или вызвать отказ в обслуживании и тем самым вынудить членов избирательной комиссии вернуться к старой, гораздо менее надежной системе подсчета голосов. Но в конечном счете результаты выборов близки к истине. Если люди в избирательной комиссии заслуживают доверия, выборы, скорее всего, «чистые». Если они не заслуживают доверия, существует такое великое множество способов повлиять на исход голосования, что не стоит даже задумываться, какой из них наиболее предпочтителен.

Интернет вносит свои поправки в эту запутанную схему, и опасность значительно возрастает. Все старые способы мошенничества остаются в силе, но появляется масса новых возможностей: атаки против компьютеров в избирательных участках, атаки через сеть, атаки против компьютеров избирателей (которые в любом случае ненадежны). И нападения, приводящие к отказу в обслуживании, которые не могли бы быть проведены против централизованной системы. Что еще хуже, современная избирательная система не дает шансов исправить ситуацию в случае успешного нападения. В 2000 году в Аризоне на предварительных выборах было разрешено голосование через Интернет. Если бы возникли проблемы или подозрения, что проблемы существуют, что бы стали делать в Аризоне? Отменять выборы и переносить их на неделю? По этой причине ни один специалист по выборам не посоветует пользоваться услугами Интернета для голосования.
Защита телефонов

Это должно быть просто. Организация – правительство, корпорация, группа защитников прав человека – нуждается в том, чтобы обезопасить от прослушивания свои телефонные переговоры. Решение, естественно, состоит в том, чтобы использовать шифрование. Но откуда следует ждать угрозы?

Противником может являться фирма-конкурент или правительство, некто, кто обладает необходимыми ресурсами и доступом, чтобы провести сложную атаку. Чтобы решить проблему, организация строит или покупает телефонную линию, в которой используется шифрование.

Как атаковать эту систему? Для этого необходимо взломать код, но предположим, что это нам не под силу.

Можно попытаться сделать так, чтобы телефоны работали неправильно. В системе существует много параметров: можно ослабить алгоритм шифрования, можно внести путаницу в систему генерации ключа, можно настроить телефон так, что он будет делать незашифрованные звонки, или можно использовать скрытый канал для того, чтобы выудить информацию о ключе, анализируя цепь передачи звуковых сигналов (когда эта операция была проведена открыто, она получила название «Клиппер»). Все эти нападения осуществимы во время создания оборудования, во время транспортировки или во время эксплуатации. Такие атаки можно провести, проникнув ночью на фабрику, подкупив того, кто там работает, или просто поменяв некоторые скрытые установки в момент запуска оборудования.

Это может показаться нереальным, но если вы обладаете ресурсами государственной разведывательной организации, все это – совершенно разумные методы проведения атаки. Швейцарская компания Crypto AG поставляла шифровальное оборудование правительствам многих стран третьего мира. В 1994 году один из ее руководителей был арестован в Иране за установку негодного криптографического оборудования. Когда спустя несколько лет он вышел из тюрьмы, он опубликовал материалы о том, что их компания годами вносила изменения в свою продукцию по заказу разведки США. В пятидесятые годы компания Xerox продавала в Россию копировальные устройства, в которых была спрятана небольшая фотокамера, тот, кто производил ремонт этих устройств, должен был всего-навсего периодически заменять в ней пленку.

«Советы» были не менее коварны: в Москве они установили жучки в американском посольстве во все оборудование, включая пишущие машинки IBM Selectric. Британские компании, занимающиеся шифрованием, славятся тем, что поставляют иностранным правительствам продукт, в котором предусмотрены специальные возможности для овладения чужими секретами. Даже если бы об этом не шла молва, наверняка аргентинское правительство подумало дважды, прежде чем использовать шифровальные устройства английского производства во время войны за Фолклендские острова.

Есть бездна возможностей для прослушивания, которые невозможно предотвратить за счет мер безопасности, применяемых в телефонной связи: можно установить жучок в самом защищенном телефоне (или просто в комнате, где стоят эти телефоны), подкупить людей, делающих или принимающих звонки, и т. д. И не приходится рассчитывать на то, что подобные проблемы удастся разрешить с помощью технических средств.

Одним из лучших методов нападения является просто выведение телефона из строя. Это легче сделать владельцу телефонной системы: например, когда телефоном пользуется правозащитная организация в проблемной стране третьего мира или когда международная корпорация пытается связаться со своим филиалом в развитой стране, славящейся промышленным шпионажем. Чтобы подслушать чужие разговоры, достаточно вызвать сбои в работе защищенного телефона. Скорее всего, собеседники продолжат общаться по обычному телефону и скажут все, что собирались сказать.
Безопасность электронной почты

Защита электронной почты – несколько более интересная тема. В главе 12 я вкратце изложил принципы работы безопасных почтовых программ. С помощью криптографии можно достичь двух вещей: создать цифровую подпись для идентификации и обеспечить тайну переписки. (История такого средства защиты, как конверт, весьма любопытна. Вавилоняне запекали свои таблички в глиняные «конверты». Бумажные конверты впервые стали использовать китайцы – зачастую с восковыми печатями, дававшими дополнительные гарантии, – и такие конверты завоевали Европу, где они приобрели особенную популярность благодаря стараниям Людовика XIV.)

В любом случае существует уйма способов нападения на почтовую систему. Взять хотя бы криптографию: работают ли алгоритмы и протоколы так, как предполагали их разработчики? Или реализацию: нет ли в программном обеспечении таких ошибок, которые можно использовать? Здесь существуют все те «черные ходы», которые используются против безопасных телефонов: нельзя ли изменить программу на стадии разработки и усовершенствования или когда она уже находится в распоряжении пользователя? А что можно сказать о паролях, вводимых пользователями, чтобы прочесть зашифрованную корреспонденцию или подписаться под посланием? Почтовые программы проходят сертификацию, это делается для того, чтобы обосновать использование открытого ключа, но в главе 15 мы уже обсуждали возможные уязвимые места в модели безопасности системы сертификации. И нельзя забывать обо всех других уязвимых точках, которые не имеют отношения к системе электронной почты: можно подглядеть и прочитать чужое письмо перед его отправкой или по получении, сделать копию распечатки – все это не зависит от того, каким механизмом депонирования ключей государство (или компания) имеет глупость вынуждать пользоваться.

Использование шифрованной корреспонденции сопряжено с большим риском, чем в случае шифрования телефонных переговоров, когда опасность утечки информации существует только во время звонка. Поскольку корреспонденция может некоторое время храниться обеими сторонами, такая опасность остается всегда. Кроме того, нападающий способен взломать операционную систему используемого для переписки компьютера, а для телефонных переговоров применяется специальное оборудование, к которому намного труднее подобраться. Противник в силах с минимальным риском провести нападение на расстоянии и завладеть всей интересующей его информацией, а не одним только письмом. Наконец, нападение может быть автоматизировано так, чтобы оно было направлено сразу на многие различные цели или просто дожидалось своего часа. К обсуждению этого примера мы вернемся в главе 21.
Смарт – карты «электронный бумажник»

Следующий, более сложный пример: электронная система платежей, основанная на использовании смарт-карты, на которой ведется баланс средств. (Их часто называют «электронным бумажником» – stored-value cards.) Некоторые такие карты уже опробованы на практике: система Mondex (а также MasterCard), VisaCash (испытана во время летних Олимпийских игр 1996 года в Атланте), Banksys's Proton. Мы рассмотрим некую абстрактную карту, не вникая в детали этих систем. Назовем нашу гипотетическую систему Plasticash.

Основная идея Plasticash состоит в том, чтобы использовать ее в денежных расчетах. Специальные терминалы станут неотъемлемой частью деловой жизни: они появятся в банках, в магазинах, будут присоединены к компьютерам, подключенным к Интернету. Когда покупатель захочет купить что-либо (или, в более общем смысле, просто перевести деньги кому-нибудь), они с продавцом вставят свои карты Plasticash в устройство чтения и записи и переведут деньги. (У продавцов, возможно, будут специальные карты, постоянно находящиеся в считывающем устройстве.) В банке или с помощью банкоматов можно будет как пополнить средства, находящиеся на карте, так и перевести их с карты на банковский счет. Обратите внимание: двум картам не обязательно находиться рядом друг с другом, достаточно соединить их по телефону или с помощью модема.

Такие карты обладают тем преимуществом, что они не обязательно должны работать в режиме онлайн, то есть находиться на связи с каким-либо центральным сервером где бы то ни было. (При использовании обычных платежных карточек торговый автомат обязан связаться с банковским компьютером в режиме реального времени.) Их недостаток состоит в том, что утрата или повреждение карты означают потерю денег.

Plasticash, как и всякая другая система электронных платежей, должна будет иметь полный набор средств защиты и использовать криптографию, меры компьютерной безопасности, средства защиты от подделки, возможности контроля и что угодно еще. Она будет обеспечивать необходимый уровень целостности данных, конфиденциальности, анонимности и т. д. Мы не будем вдаваться в подробности. Давайте рассмотрим варианты нападений на подобную систему в принципе.

В функционировании системы Plasticash участвуют три стороны: клиент, продавец и банк. Поэтому существуют три схемы взаимодействия между участниками расчетов:

• Банк – клиент. Клиент снимает деньги на свою карту.

• Клиент – продавец. Клиент переводит деньги со своей карты на карту продавца.

• Банк – продавец. Продавец вносит полученные деньги на свой банковский счет.

В первой части этой книги рассказывается о преступлениях, которые, возможно, будут совершаться и в сфере Plasticash: это кража денег, ложное обвинение, нарушение тайны частной жизни, вандализм и террор, а также разглашение сведений. Система Plasticash должна предусматривать меры противодействия использованию ее для подготовки других преступлений, таких как отмывание денег. Приготовления к преступлению трудно определить точно, представления об этом могут меняться при каждом пересечении границы государства и даже после каждых новых выборов. Также неясно, насколько законы и обычаи различных стран способны противоречить друг другу. Например, на международной арене принятые в США требования к финансовой отчетности могут восприниматься как нарушение швейцарских законов, охраняющих тайну банковской деятельности.

Когда мы говорим о мошенничестве со стороны банков, мы не обязательно имеем в виду, что речь идет о банковской «империи зла». Такие преступления могут совершаться отдельными мошенниками, работающими в заслуживающем уважения банке. Вообще, мы чаще имеем дело с мошенничеством клиентов и продавцов (отдельных мошенников, принятых на эту работу), поскольку теоретически банки в силах позволить себе лучшие механизмы и меры безопасности, а возможные потери в связи с ущербом репутации от нападений на банковские системы очень велики.

Итак, первый вид преступлений – это кража. Существует несколько способов похитить деньги с Plasticash. Ими могут воспользоваться как клиенты, так и продавцы:

• Взломать карту, чтобы прибавить себе денег. Это также можно осуществить несколькими способами, наиболее очевидный путь – добраться до устройства, регистрирующего находящуюся на карте сумму.

• Можно таким же образом увеличить или уменьшить размер платы за покупку.

• Можно научиться создавать или имитировать новые карты и изготовить фальшивые Plasticash, которые будут функционировать, как настоящие. Фальшивая карта не обязательно даже должна быть похожа на оригинальную: мошенник может пользоваться ею только при покупках в Интернете или переводить деньги с фальшивой карты на настоящую, с которой и будет производить платежи.

• Можно научиться клонировать карты. Мошеннику понадобится завладеть на время настоящей картой, чтобы сделать клон, после чего ее можно будет вернуть владельцу. (Успешные преступления такого рода уже совершались с канадскими банковскими карточками, и в 1999 году некоторые из мошенников были арестованы. Жулик-продавец ухитрялся в считанные секунды клонировать карту, использовавшуюся покупателем для расчетов.)

Вот способы мошенничества, используемые клиентами:

• Отрицать сделанные покупки. Это старый прием, состоящий в том, чтобы приобрести что-либо дорогостоящее, заявить о краже карточки и опротестовать произведенные платежи. Есть новый вариант этого метода – прикинуться дураком в свое оправдание, заявляя, например, следующее: «Visa виновата в том, что я потерял все свои деньги в азартных играх онлайн; это произошло не по моей вине». Такое мошенничество проводится на законном административном уровне. С чем бы мы ни имели дело – с чеками, кредитными картами, дорожными чеками и чем угодно еще, – всегда найдутся люди, не желающие платить по счетам и утверждающие, что они не расходовали этих денег.

• Можно договориться с кем-нибудь о том, что он заявит о похищении своей карты, и получить ее дубликат. Такого рода жульничества также распространены во многих сферах и не ограничиваются системой Plasticash.

Виды мошенничества, доступные лишь продавцам:

• Принять платеж и отказаться передать покупку. Защита карты не будет препятствием для такого обмана, предотвратить его можно лишь с помощью административных мер и установленных законом процедур.

• Получить доступ к карте покупателя и произвести серию несомненно действительных переводов на свой банковский счет. Это очевидный способ мошенничества. Преступник попытается перевести деньги и затем быстренько снять их со счета.

• Повторить перевод денег. Продавец может каким-либо способом сделать так, что покупатель заплатит двойную цену.

Наконец, мошенничества, доступные банкам:

• Отказаться перевести в Plasticash сумму, которую внес клиент. Противодействовать этому можно только с помощью административных мер и регистрации банковских операций: клиент сумеет доказать незаинтересованной третьей стороне, что его обманули, если будет правильно организовано ведение записей.

• Прикарманить деньги, переведенные клиентом с Plasticash для занесения на его счет. Иначе как административными методами противодействовать этому нельзя.

Все эти мошенничества могут совершаться также в сговоре двух (или трех) сторон. Трудно представить какой-либо другой вид надувательства, которое могут совершить вместе покупатель с продавцом, но в зависимости от степени защищенности системы вероятны такие виды преступлений, которые будут успешны, если они действуют сообща, и обречены на провал при попытке осуществить их в одиночку. Кроме того, нетрудно представить себе преступления, совершаемые людьми, прикидывающимися обслуживающими терминал лицами или телефонистами.

Второй вид преступлений представляет собой ложное обвинение (клевету или шантаж). Их способны совершить как покупатель, так и продавец:

• Покупатель может заявить, что у продавца недействительная карта Plasticash (или неправильно функционирует терминал). То же самое может заявить и продавец относительно карты покупателя. Это мошенничество следует пресекать административными мерами.

Также вероятен шантаж со стороны банка:

• Можно подделать карту клиента (или продавца) и выдвинуть против него ложное обвинение. Весьма правдоподобно, что если банк выпускает карты, то для него не проблема и подделывать их. Приятно ли будет клиенту узнать, что в его карте числятся расходы на проституток?

Третий вид преступлений – это нарушение тайны частной жизни. Это происходит, когда кто-либо сообщает третьей стороне конфиденциальную информацию о некотором лице без его согласия. В зависимости от местного законодательства такие действия не везде считаются преступлением. Если разработчики Plasticash хотят, чтобы система распространилась по всему миру, имеет смысл составить перечень этих действий и не обращать на них внимания, если они считаются законными (и не причиняют никому вреда).

До тех пор пока система не станет обладать средствами для предотвращения нарушения тайны частной жизни, банки будут иметь неограниченные возможности для получения информации о расходах клиентов. («Я знаю, что Вы приобрели прошлым летом».) Этого можно избежать в некоторых случаях (но только в некоторых), если клиенты будут приобретать карты с фиксированной суммой денег на них, аналогично некоторым телефонным картам с предоплатой.

Продавец не сумеет непосредственно получить подобные сведения и узнать имя покупателя, однако с помощью других продавцов он может собрать информацию об использовании карты с известным ему идентификационным номером и, сопоставив данные, идентифицировать ее владельца.

Наконец, следует помнить и о возможности подслушивания: люди, вовсе не участвующие во взаиморасчетах, могут подслушивать и собирать информацию.

Четвертый вид преступлений, вызывающих беспокойство, включает вандализм и терроризм. Эти правонарушения в первую очередь направлены против системы в целом, хотя могут совершаться и против отдельных владельцев карт, продавцов и банков. Главная цель таких преступлений – помешать правильному функционированию системы. То, что называется атаками, направленными на отказ в обслуживании, в этом случае может оказаться весьма любопытно. Судите сами.

Действия, направленные против продавца:

• Можно создать помехи во взаимодействии с банком или покупателями.

• Можно объявить карту продавца похищенной или скомпрометированной.

• Можно физически повредить или уничтожить карту продавца.

• Нарушить электрическое питание терминала или разорвать телефонную связь с ним.

Действия, направленные против клиента (покупателя):

• Можно создать помехи во взаимодействии с банком или продавцами.

• Можно объявить карту продавца похищенной или скомпрометированной.

• Можно физически повредить или уничтожить карту клиента (покупателя). Действия, направленные против банка:

• Можно создать помехи во взаимодействии с клиентами или продавцами.

• Можно физически повредить или уничтожить банковские технические средства, обеспечивающие безопасность.

Действия, направленные против системы в целом:

• Заставить систему самосовершенствоваться, прежде чем кто-либо поймет, что с этим делать. (Можно рассматривать это как аналог «проблемы 2000 года».)

• Вызвать отказ в обслуживании многих или вообще всех банков.

• Создать помехи во взаимодействии с клиентами или продавцами.

• Уничтожить открытый ключ высшего уровня сертификации в системах, основанных на PKI.

Преступные действия способны также дестабилизировать работу системы:

• Можно наладить массовый выпуск поддельных карт.

• Можно организовать массовые, широко распространенные мошенничества с картами и подорвать доверие к системе.

Наконец, поговорим об использовании системы для совершения преступлений, то есть о нарушениях закона с ее помощью. До сих пор мы рассматривали лишь возможность отмывания денег, но не менее заманчиво обсудить возможности других противозаконных действий. (Заметим, что большинство злодеяний связаны с передачей наличных денег из рук в руки. Наша система карт позволит легко избавиться от таких преступлений, как торговля наркотиками, незаконные азартные игры, проституция и т. д.)

Некоторые люди получают банковские карточки под вымышленными именами, но нетрудно склонить кого-либо к тому, чтобы он использовал свое настоящее имя. (Несомненно, в мире найдется много желающих открыть банковский счет, который, как они понимают, будет контролироваться другими людьми и использоваться для отмывания денег, если им предложат несколько тысяч долларов или, в отдельных случаях, возможность провести несколько дней или недель в пьяном или наркотическом угаре.) Если на такие карточки положить деньги, их можно использовать как компактное платежное средство, и не существует очевидного способа воспрепятствовать этому.

Обратите внимание на то, что решение вопросов морали и законности в этой сфере далеко не очевидно. Требования о предоставлении финансовой отчетности в государственные органы США и Великобритании могут причинять некоторые неприятности гражданам, но власти редко злоупотребляют этим. Во многих других странах, таких как Китай, Турция. Мексика или Сирия, дело принимает совсем другой оборот. Последнее обстоятельство чревато политическими и юридическими проблемами для тех компаний, которые обязаны предоставлять такие сведения, и способно привести к большему распространению мошенничества в этих странах.
Оценка рисков

Недостаточно просто составить перечень угроз, необходимо знать, как реагировать на каждую из них. Здесь на помощь приходит оценка рисков. Основная идея состоит в том, чтобы оценить возможный ущерб от реализации угрозы и возможное число таких случаев в течение года, а затем вычислить ожидаемые потери за год.

Например, «планируемые» убытки от хакерского вторжения в сеть составляют 10 000 долларов в каждом случае (эта сумма включает в себя оплату труда тех, кто будет обнаруживать такие происшествия, приводить все в порядок и т. д.), а такие происшествия могут случаться трижды в день или тысячу раз в год. В таком случае ожидаемые убытки за год не превзойдут 10 миллионов. (Можно понять, что из этого следует. Если ожидаемые убытки за год составляют 10 миллионов долларов, то приобретение, установка и поддержка брандмауэра за 25 000 в год – весьма выгодное дело. Приобретение нечто такого «супер-пупер-умопомрачительного» за 40 миллионов будет пустой тратой денег. При этом анализе предполагается, что брандмауэр и «супер-пупер-умопомрачительное» одинаково хороши для предотвращения угрозы. Позже мы еще вернемся к этой теме.)

Иногда вероятность реализации угрозы очень мала. Если речь идет о вторжении в систему конкурента с целью получения сведений о новых разработках, потери могут составить, например, десять миллионов долларов в каждом случае. Но предположим, что число таких вторжений составляет 0,001 или 0,1% в год. Таким образом, ожидаемые убытки за год превращаются в 10 000 долларов, и меры противодействия, которые обходятся в 25 000 долларов, становятся совершенно невыгодными.

Страховые компании постоянно имеют дело с оценкой рисков, исходя из нее они и определяют размер страховых взносов. Они считают ожидаемые убытки за год для каждого случая, прибавляют расходы на свою деятельность плюс некоторую прибыль и таким образом получают сумму взносов при страховании от определенных рисков.

При этом, разумеется, им приходится делать множество предположений; конкретные риски, о которых мы говорим, еще слишком новы и трудны для понимания. Иногда требуется особенная проницательность для того, чтобы обнаружить вектор катастрофического развития событий, когда незначительная ошибка чревата многомиллионными потерями.

Для анализа рисков, связанных с компьютерным миром, производители предлагают множество алгоритмов и методов. Однако они в большей степени предназначены для оценки крупных рисков, таких как промышленный шпионаж, а не незначительных опасений вроде взлома шифровального ключа электронной почты.

Анализ рисков важен в том отношении, что позволяет сориентироваться в этой сфере. Огромные зияющие «дыры» в системе безопасности не страшны, пока вероятность реализации угрозы равна нулю. (Токио, например, до сих пор беззащитен перед огнедышащими драконами.) Маленькие «щели» обязательно нужно затыкать, если ежедневно через них может осуществляться десять миллионов нападений.
Сущность моделирования угроз

При разработке системы безопасности жизненно необходимы как моделирование угроз, так и оценка рисков. Слишком многие разработчики систем представляют себе свою деятельность наподобие поваренной книги: смешаем в определенных пропорциях некоторые меры противодействия – хорошими примерами тому являются шифрование и брандмауэры, – и как по волшебству мы окажемся в безопасности.

Так никогда не бывает. Йоги Берра сказал: «Будьте осторожны, если вы не знаете, куда идете, может быть, лучше вам не попадать туда». Часто системы безопасности оказываются неспособны противостоять некоторым угрозам. Шифрование электронной почты может спрятать от посторонних глаз содержание корреспонденции, но никак не сумеет скрыть факт существования переписки. В некоторых случаях выявление корреспондентов оказывается более опасным для них, нежели знание содержания писем. В других ситуациях информация о том, что некто использует шифрование, оказывается чрезвычайно содержательной сама по себе.

Хорошая разработка получается в результате последовательного движения от технических требований к нахождению правильного решения, а не в результате применения сухой технологии для получения конечного продукта. В случае разработки систем безопасности это означает, что сперва необходимо заняться моделированием угроз, выработать политику безопасности и только после этого выбирать подходящие технологии. Угрозы определяют политику безопасности, а она, в свою очередь, – процесс разработки. В частности:

• Следует понять, что реально угрожает системе, и провести оценку рисков. Это легче сделать, если использовать опыт «реального мира» и знания об имевших место нападениях на похожие системы.

• Определить политику безопасности для противодействия этим угрозам.

Это должен быть ряд положений вроде: «только уполномоченные банки вправе изменять баланс на картах Plasticash» или «все движения денежных средств в системе Plasticash должны быть доступны контролю».

• Разработать меры противодействия, которые воплотят в жизнь политику безопасности. Эти контрмеры должны представлять собой объединение механизмов защиты, обнаружения и реагирования.

Конечно, такая прямолинейная модель создания решения – это идеал, а реалии жизни не часто помогают в ее реализации. Более правдоподобно, что путь разработки будет напоминать спираль, и придется не один раз повторить эти три шага, с каждым разом все более и более приближаясь к достижению истинной безопасности. В наивысшей степени сказанное относится к новым системам и новым технологиям, когда действительные угрозы остаются неизвестны до тех пор, пока на практике не удастся определить, кто и на что будет нападать. Поэтому все хорошие системы предусматривают план действий в непредвиденных обстоятельствах и способы восстановления после катастрофических событий.
Ошибки в определении угроз

Рассмотрение целей и методов нападающих кажется очевидным делом, однако многие организации, ведущие себя вполне разумно в других случаях, оказались неспособны сделать это. Военная контрразведка США потратила многие годы на то, чтобы построить защиту от одной хорошо финансируемой организации, имевшей единственную цель – прослушивание американских линий связи военного значения. Она преуспела в этом, однако совершенно упустила из виду опасность, исходящую от хакеров. Хакеров не интересует прослушивание. Их никто не финансирует. Они не организованы. Им не нужны военные секреты, им хочется поковыряться в системе ради развлечения и посмотреть, как она обрушится. Им хочется похвастаться перед приятелями и, может быть, увидеть свое имя в газетах. Некий сотрудник AT&T Bell Labs обнаружил дефект в реализации «Клиппер-чипа» (Clipper chip[51]) военной контрразведки и создал ей дурную славу. Зачем? Ради удовольствия поймать контрразведку на ошибке.

Если вы занимаетесь моделированием угроз, сперва обратите внимание на те случаи, когда люди глубоко заблуждались насчет реальности угрозы.

• В индустрии сотовых телефонов было потрачено много денег на разработку средств обнаружения мошенничества, но никто не понимал реальной угрозы. Предполагалось, что преступники будут пытаться пользоваться услугами телефонной связи бесплатно. В действительности все, что требовалось настоящим преступникам, – это анонимность, им не хотелось, чтобы телефонные звонки вели к ним. Номера сотовых телефонов перехватывались в эфире, использовались несколько раз и затем забывались. Система, имевшая целью предотвращение мошенничества, не была рассчитана на обнаружение таких действий.

• В той же индустрии сотовых телефонов, еще в давние времена аналоговой передачи сигналов, никто не беспокоился о безопасности связи, поскольку, как считалось, «сканеры дороги и редко встречаются». Спустя годы сканеры стали дешевы и широко распространены. Тогда, следуя замечательной традиции ничего не предпринимать, никто не побеспокоился о безопасности цифровых телефонов, поскольку «цифровые сканеры дороги и редко встречаются». Что же дальше? Они так же подешевели и стали более распространены.

• Хакеры часто предлагают на продажу средства взлома на веб-страницах и досках объявлений. Некоторые из этих хакерских средств сами заражены Back Orifice, и тот, кто их написал, получает доступ к компьютеру использующего их хакера. Аристотель называл подобное стечение обстоятельств «поэтической справедливостью».

• Когда обнаруживается уязвимость протокола безопасности Интернета, поставщик обычно пересматривает протокол с целью ее уменьшения. Однако ввиду важности обратной совместимости новый протокол часто делается совместимым со старым, уязвимым протоколом. Умный нападающий просто взламывает старый протокол и использует его уязвимость. Это называется атакой на откат версии (version-rollback).

• Несколько лет тому назад монетоприемники японских автоматов для игры в пачинко были заменены устройствами для чтения магнитных карт. В системе использовались разные меры защиты от жульничества, но разработчики ошибались, считая владельцев игорных заведений хорошими парнями. В действительности многие из них были вовлечены в организованную преступность. И модель безопасности была построена плохо: владельцы помещений, где находились автоматы, не оставались в накладе и получали доходы независимо от того, настоящими или фальшивыми были карты, поэтому у них не было стимула обращаться в полицию по поводу мошенничества. (Разработчики также полагали, что, установив для каждой карты предел в 100 долларов, можно ограничить потери.) Махинация была проведена тонко – она включала восстановление настоящих карт, «исчезновение» многих автоматов после землетрясения в Кобе и охватывала множество игорных заведений, – и общая сумма ущерба от нее составила около 600 миллионов долларов. По слухам, деньги утекли в Северную Корею.

• Производители автоматов, принимающих монеты, давно предвидели возможность манипуляций мошенников с механическими устройствами. Например, просверливание отверстий в автомате для воздействия на механизм барабана или использование устройств, воздействующих на счетчик монет, подлежащих выплате игроку. Несколько лет назад один из производителей автоматов для игры в покер был удивлен совершенно неожиданному способу воздействия с помощью статического электричества. Некоторые игроки обнаружили, вероятно, случайно, что если накопить достаточно большой заряд, походив по плюшевым коврам в казино, и разрядиться на автомат, из него посыплются все имеющиеся монеты.

• В конце 1999 года было взломано шифрование цифровых видеодисков (DVD). Если даже диск зашифрован, ключ для дешифрования должен быть в проигрывателе. Иначе и быть не может. Все было в порядке, пока проигрыватели оставались защищенными от взлома физическими устройствами, но с момента создания программного проигрывателя ключи присутствуют в программах. Кто-то просто произвел анализ программы и нашел ключ, таким образом, содержание видеодисков теперь может копироваться и распространяться через Интернет.

• В 1980 году при проведении Пенсильванской лотереи ее ведущий и несколько рабочих сцены, с которыми он был в сговоре, подтасовали пинг-понговые шарики, использовавшиеся в розыгрыше, и выиграли 1,2 миллиона долларов. Никто не предполагал возможности такого сложного сговора. В настоящее время проведение лотереи контролируется более тщательно. (Подобное происшествие, но уже вследствие случайной ошибки, имело место при проведении Аризонской лотереи. В 1998 году кто-то обратил внимание на то, что в выигрышных номерах нет ни одной девятки. Оказалось, что алгоритм генерации псевдослучайных чисел содержит элементарную программную ошибку. Кажется, пингпонговые шарики надежнее компьютеров.)

Правила дорожного движения большинства европейских стран предписывают использование на грузовых автомобилях устройства, называемого тахограф, который присоединяется к спидометру и фиксирует скорость, пройденное расстояние и другие сведения. Тахограф записывает показания спидометра на бумажную ленту, на которой водитель ставит свою подпись и дату; лента затем хранится какое-то время. Здесь трудно было что-либо подделать, и попытки обмана совершались чаще с использованием слабостей процедуры, а не технологии. Недавно Европейский союз начал финансирование проекта «Тахосмарт» для создания полностью цифрового устройства взамен старого тахографа. Любая подобная система открыта для всех видов нападений, описанных в этой книге (хуже всего, что новое устройство, похоже, будет основано на использовании смарт-карт и будет еще менее надежным).

Приведенные примеры интересны тем, что нападающие использовали не недостатки мер противодействия, а просчеты модели безопасности. Во всех случаях меры противодействия существовали, но они не решали истинную проблему. Хотя они могли преодолеть некоторые смежные проблемы. И в некоторых случаях решения создавали еще большие проблемы, нежели те, с которыми удавалось справиться.

Опубликовано: 12 июня 2011, 13:53     Распечатать
 

 
электронные книги
РЕКЛАМА
онлайн книги
электронные учебники мобильные книги
электронные книги
Полезное
новинки книг
онлайн книги { электронные учебники
мобильные книги
Посетители
электронные книги
интернет библиотека

литература
читать онлайн
 

Главная   |   Регистрация   |   Мобильная версия сайта   |   Боевик   |   Детектив   |   Драма   |   Любовный роман   |   Интернет   |   История   |   Классика   |   Компьютер   |   Лирика   |   Медицина   |   Фантастика   |   Приключения   |   Проза  |   Сказка/Детское   |   Триллер   |   Наука и Образование   |   Экономика   |   Эротика   |   Юмор