Российские компании, которые только начинают работать на этом
рынке, очень уязвимы для злоумышленников. Постоянно обостряющаяся
борьба среди конкурентов вынуждает их выходить на рынок абсолютно
неподготовленными с точки зрения безопасности. Электронный магазин
работает? Да. Что еще надо для зарабатывания денег? И только когда
на Internet-магазин совершается виртуальное нападение, только тогда
руководство компаний начинает задумываться о защите своих ресурсов.
Если еще не поздно
Интерес к электронной коммерции растет как на дрожжах. И не
только на Западе. Многие российские компании также начинают
активизироваться на этом рынке. И хотя до зарубежных объемов нам еще
далеко, но мы стремимся не только догнать, но и перегнать наших
иностранных коллег. Об этом говорит и тот факт, что за последнее
время было объявлено о создании новых журналов, посвященных этой
тематике, открытии новых конференций и семинаров, и т.д. Однако,
если внимательно приглядеться к тематике этих мероприятий и изданий,
то можно убедиться, что вопросам безопасности в них внимания
никакого не уделяется. Лишний раз это подтверждается тем, что в
первых номерах журнала eCommerce World была опубликована только
одна статья о безопасности eCommerce и то, посвященная защите
электронных транзакций при помощи протокола SET.
Когда речь заходит о безопасности электронной коммерции, о чем
сразу вспоминает рядовой обыватель? О доверии при совершении
электронных сделок. Именно этой теме и была посвящена статья о
протоколе SET. Однако если вглядеться поглубже в проблематику
обеспечения информационной безопасности при электронном ведении
бизнеса, она намного шире. Доверие к транзакциям это только
верхушка айсберга, которая видна пользователю. Для компании,
провайдера eCommerce-услуг, это важно, но не стоит забывать и о
других аспектах безопасности.
Рассмотрим наиболее типичное
применение eCommerce приобретение продуктов и услуг через
Internet. Этот процесс может быть описан 7 шагами:
Заказчик
выбирает продукт или услугу через Web-сервер электронного магазина
и оформляет соответствующий заказ.
Заказ
заносится в базу данных заказов магазина.
Проверяется
доступность заказанного продукта или услуги через центральную базу
данных.
Если
продукт не доступен, то заказчик получает об этом уведомление и
процесс приобретения продукта или услуги завершается. В
зависимости от реализации магазина, запрос на продукт может быть
(с разрешения заказчика) перенаправлен на другой склад (например,
в другом городе).
В
случае наличия продукта или услуги заказчик подтверждает оплату и
заказ помещается в соответствующую базу данных. Электронный
магазин посылает заказчику подтверждение заказа. В большинстве
случаев (особенно у начинающих компаний) существует единая база
данных для заказов, проверки наличия товаров и т.д.
Клиент
в режиме online оплачивает заказ.
Товар
доставляется заказчику.
По мнению обычного пользователя, основная проблема с обеспечением
безопасности возникает на 6-ом этапе, когда через Internet
передается номер кредитной карты и сопутствующая информация. Однако
компания, реализующая услуги электронного магазина, начинает
встречаться с вопросами, связанными с безопасностью, уже на первом
этапе. И эти вопросы ее преследуют на всем протяжении осуществления
электронной сделки.
Перечислим основные угрозы, которые
подстерегают eCommerce компанию на всех этих семи этапах:
Подмена
страницы Web-сервера электронного магазина. Основной способ
реализации этой угрозы переадресация запросов пользователя на
другой сервер. Делается это путем замены записей в таблицах
DNS-серверов или в таблицах маршрутизаторов. Наибольшей опасности
данная угроза достигает на шестом этапе, когда заказчик вводит
номер своей кредитной карты.
Создание
ложных заказов и мошенничество со стороны сотрудников электронного
магазина. Проникновение в базу данных и изменение процедур
обработки заказов позволяет как внешним, так и внутренним
злоумышленникам осуществлять различные несанкционированные
манипуляции с базой данных. Особенно, если учесть, что по
статистике больше половины всех компьютерных инцидентов, связано с
собственными сотрудниками. Соотношение внутренних/внешних угроз
раньше составляло, как правило, 80/20, говорит Марк Лобел из
PricewaterhouseCoopers. Сейчас, ситуация несколько изменилась,
60/40 [1].
Перехват
данных, передаваемых в системе электронной коммерции. Особую
опасность представляет собой перехват информации о кредитной карте
заказчика.
Проникновение
во внутреннюю сеть компании и компрометация компонентов
электронного магазина.
Реализация
атак типа отказ в обслуживании (denial of service) и нарушение
функционирования или выведение из строя узла электронной
коммерции.
В результате всех этих угроз компания, провайдер электронных
сделок, теряет доверие клиентов, теряет деньги от потенциальных, но
не совершенных сделок. В некоторых случаях этой компании можно
предъявить иск за раскрытие номеров кредитных карт. В случае
реализации атак типа отказ в обслуживании может быть нарушено
функционирование электронного магазина, на восстановление
работоспособности которого будут затрачены как человеческие и
временные, так и материальные ресурсы на замену вышедшего из строя
оборудования.
Третья описанная угроза (перехват данных) не зависит от
используемого программного и аппаратного обеспечения и присуща любым
системам электронной коммерции, функционирующим в Internet. Это
связано с незащищенностью текущей версии протокола IP (v4). Решить
эту проблему может только использование криптографических средств
или переход на новую, шестую, версию протокола IP. Но в обоих
случаях существуют свои проблемы. В первом случае, применение
криптографических средств должно быть лицензировано в
соответствующем российском ведомстве. Во втором случае возникают
чисто организационные проблемы, которые на данный момент не
разрешимы.
Обратимся к другим угрозам. Их можно разделить на две категории.
Первая связана с нарушением доступности узлов электронной коммерции.
Вторая с неправильной конфигурацией и настройкой программного и
аппаратного обеспечения электронного магазина.
Обеспечение доступности серверов электронной коммерции сейчас у
всех на слуху, особенно после случаев выведения из строя серверов в
начале февраля этого года [2]. 7 и 8 февраля 2000 года было
зафиксировано нарушение функционирования таких популярных и ведущих
Internet-серверов, как Yahoo (http://www.yahoo.com), eBay
(http://www.ebay.com), Amazon (http://www.amazon.com), Buy
(http://www.buy.com) и CNN (http://www.cnn.com). 9 февраля
аналогичная участь постигла сервера ZDNet (http://www.zdnet.com),
Datek (http://www.datek.com) и E*Trade (http://www.etrade.com).
Проведенное ФБР расследование показало, что указанные сервера вышли
из строя из-за огромного числа направленных им запросов, что и
привело к тому, что эти сервера не могли обработать трафик такого
объема и вышли из строя. Например, организованный на сервер Buy
трафик превысил средние показатели в 24 раза, и в 8 раз превысил
максимально допустимую нагрузку на сервера, поддерживающие
работоспособность Buy и достиг отметки в 800 Мбит/сек. По разным
оценкам нанесенный ущерб достиг цифры в полтора миллиарда долларов.
И это всего за три часа простоя!
Все это наводит на мысль, что защита должна быть комплексной.
Однако на практике ситуация несколько иная. Какова обычно защита у
новоявленных российских Amazon’ок? Она ограничивается использованием
криптографических механизмов (в частности 40-битной версии протокола
SSL) для защиты передаваемой информации между броузером клиента и
Web-сервером электронного магазина и включением фильтрации на
маршрутизаторе. Достаточно ли этого? Как показывает опыт нет.
Комплексная система защиты информации
должна строиться с учетом четырех уровней любой информационной
системы, в т.ч. и системы электронного ведения бизнеса:
Уровень
прикладного программного обеспечения (ПО), отвечающий за
взаимодействие с пользователем. Примером элементов ИС, работающих
на этом уровне, можно назвать текстовый редактор WinWord, редактор
электронных таблиц Excel, почтовая программа Outlook, броузер
Internet Explorer и т.д.
Уровень
системы управления базами данных (СУБД), отвечающий за хранение и
обработку данных информационной системы. Примером элементов ИС,
работающих на этом уровне, можно назвать СУБД Oracle, MS SQL
Server, Sybase и даже MS Access.
Уровень
операционной системы (ОС), отвечающий за обслуживание СУБД и
прикладного программного обеспечения. Примером элементов ИС,
работающих на этом уровне, можно назвать ОС Microsoft Windows NT,
Sun Solaris, Novell Netware.
Уровень
сети, отвечающий за взаимодействие узлов информационной системы.
Примером элементов ИС, работающих на этом уровне, можно назвать
протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.
Система защиты должна эффективно функционировать на всех этих
уровнях. Иначе злоумышленник сможет реализовать ту или иную атаку на
ресурсы электронного магазина. При этом как я уже упоминал, опасен
как внешний, так и внутренний злоумышленник. Статистика вещь
неумолимая и она говорит о том, что основная опасность исходит от
сотрудников компании, т.е., применительно к eCommerce, внутренних
пользователей электронного магазина (операторов системы).
Например, для получения
несанкционированного доступа к информации о заказах в базе данных
электронного магазина злоумышленники могут попытаться реализовать
одну из следующих возможностей:
Прочитать
записи БД из MS Query, который позволяет получать доступ к записям
многих СУБД при помощи механизма ODBC или SQL-запросов (уровень
прикладного ПО).
Прочитать
нужные данные средствами самой СУБД (уровень СУБД).
Прочитать
файлы базы данных непосредственно на уровне операционной системы.
Отправить по
сети пакеты со сформированными запросами на получение необходимых
данных от СУБД или перехватить эти данные в процессе их передаче
по каналам связи (уровень сети).
Этот пример лишний раз подтверждает тезис о необходимости
построения комплексной системы защиты, эффективно работающей на всех
этих уровнях. Однако, как показывает опыт, основное внимание
уделяется только нижним двум уровням уровню сети и операционной
системы. На уровне сети применяются маршрутизаторы и межсетевые
экраны. На уровне ОС встроенные средства разграничения доступа.
Достаточно ли этих средств? Явно нет. И вот почему.
Представим, что злоумышленник получил идентификатор и пароль
пользователя базы данных электронного магазина. Сделать это
достаточно просто. Или просто перехватить их в процессе передачи по
сети или подобрать при помощи специальных программ, свободно лежащих
в сети Internet. Далее все идет как по маслу. И межсетевой экран, и
операционная система пропускает злоумышленника ко всем ресурсам,
потому что им были предъявлены идентификатор и пароль
авторизованного пользователя. И это не недостаток реализованных
механизмов, просто особенность их функционирования, с которой ничего
нельзя поделать. Нужны новые средства и механизмы защиты. Одним из
таких механизмов является обнаружение атак (intrusion detection) [3]
и обнаружение мошенничеств [4]. Средствам обнаружения атак в
настоящий момент уделяется очень много внимания во всем мире. По
прогнозам компании IDC объемы продаж этих средств возрастут с 58
миллионов долларов в 1997 году до 977,9 миллионов долларов в 2003
году [5]. Особенность этих средств в том, что они с одинаковой
эффективностью функционируют как внутри сети, защищая от внутренних
злоумышленников, так и снаружи, защищая от внешних
несанкционированных воздействий. В т.ч. эти средства позволяют
своевременно обнаруживать и блокировать сетевые атаки типа отказ в
обслуживании, направленные на нарушение работоспособности
электронного магазина. Одним из ярких примеров средств обнаружения
атак можно назвать систему RealSecure, разработанную компанией
Internet Security Systems, Inc. Согласно упоминавшемуся отчету
компании IDC, система RealSecure захватила 52,8% рынка средств
обнаружения атак.
А собственно, почему злоумышленник смог получить пароль и
идентификатор пользователя? Да потому что любому программному
обеспечению присущи определенные уязвимости, которые приводят к
реализации атак. Это могут быть как уязвимости проектирования
системы eCommerce (например, отсутствие средств защиты), так и
уязвимости реализации и конфигурации. Последние два типа уязвимостей
самые распространенные и встречаются в любой организации. Перечислю
только несколько примеров. Ошибка переполнения буфера (buffer
overflow) в броузерах Microsoft и Netscape, ошибка реализации демона
IMAP и почтовой программы sendmail, использование пустых паролей и
паролей менее 6 символов, запущенные, но не используемые сервисы,
например, Telnet. Все это может привести к реализации различного
рода атак, направленных, как на нарушение доступности
eCommerce-узлов, так и на нарушение конфиденциальности и целостности
обрабатываемой ими информации.
Логично предположить, что для того, чтобы нельзя было реализовать
ту или иную атаку, необходимо своевременно обнаружить и устранить
уязвимости информационной системы. Причем на всех 4-х ее уровнях.
Помочь в этом могут средства анализа защищенности (security
assessment systems) или сканеры безопасности (security scanners).
Эти средства могут обнаружить и устранить тысячи уязвимостей на
десятках и сотнях узлов, в т.ч. и удаленных на значительные
расстояния [6]. И в этой области также лидирует компания Internet
Security Systems со своим семейством SAFEsuite [7], содержащим не
только названную систему RealSecure, но и три системы поиска
уязвимостей, работающих на всех четырех уровнях ИС Internet
Scanner, System Scanner и Database Scanner.
Совокупность применения различных средств защиты на всех уровнях
системы электронного ведения бизнеса позволит построить эффективную
и надежную систему обеспечения информационной безопасности
eCommerce. Такая система будет стоять на страже интересов и
пользователей, и сотрудников компании-провайдера электронных услуг.
Она позволит снизить, а во многих случаях и полностью предотвратить,
возможный ущерб от атак на компоненты и ресурсы системы
e-business. |