Обзор подготовлен

MS и Linux: простая замена ОС не решает проблем защиты

Практически все вирусы, нашумевшие за последние годы, заражали исключительно компьютеры с программным обеспечением от Microsoft (операционная система Windows, почтовые клиенты Outlook и Outlook Express, веб-сервер IIS и т.п.). Для сторонников ПО с открытыми исходными текстами и, прежде всего, операционных систем Linux и BSD, этот факт представляется весьма значительным. Это не просто вирусы, а именно «Microsoft-вирусы» стали «проклятием» для компьютерщиков; это ли не аргумент для отказа от Windows в пользу основной альтернативы — свободных решений на базе Linux или BSD? Лучшая безопасность этих систем по сравнению с Windows стала для многих догмой. Однако в последнее время появились исследования, которые, казалось бы, разбивают это утверждение в пух и прах. Так, по данным mi2g, большая часть успешно взломанных интернет-серверов работала под ОС Linux, тогда как Windows занимает второе место с большим отрывом.

Безопасность на завалинке

Проблема безопасности широко обсуждается в компьютерной прессе, а также прессе обычной и попросту в художественной литературе. Пожалуй, почти любой пользователь компьютеров что-то слышал о вопросах безопасности — а нередко сталкивался с этой проблемой лично. И следует заметить, что «обсуждение на завалинке» имеет достаточно заметное отношение к реальности.

Самая главная страшилка — вирусы. Это общее условное название для разнообразных программ, которые инфицируют компьютеры через сеть и затем используют их для заражения других компьютеров.

Иногда вирусы также наносят прямой вред (например, уничтожают файлы); но даже если вредоносных функций у вируса нет, он зачастую парализует работу компьютера. Кроме того, вирусы создают значительную нагрузку на компьютерные сети; это замедляет их работу и нередко повышает расходы пользователей (при оплате за трафик).

Другая общеизвестная опасность — хакеры. Компьютерные злоумышленники, как известно каждому читателю специализированной литературы, захватывают контроль над компьютерами самыми разными методами и используют для самых разных целей: от кражи сверхсекретной информации до массированной атаки на какой-либо другой компьютер. Многим приходилось встречаться с хакерами также и в обыденной реальности, когда те крали с компьютера пароль для доступа в интернет. Эти же хакеры пишут вирусы.

Безопасной в таком представлении должна считаться система (не только ОС, но и весь набор ПО), которая никогда не позволит вирусу заразить компьютер, а хакеру — получить какой-либо контроль над ним.

Разумеется, абсолютно и гарантированно безопасной системы существовать не может. Но нередко возникает спор о том, какие программы «более безопасны». Какую платформу — Microsoft, Linux или ещё какую-либо — следует выбрать, чтобы обеспечить «максимальный уровень защиты»?

Эта дискуссия идёт давно и горячо. Репутация компании Microsoft в отношении безопасности оказалась основательно подмочена (преимущественно в результате вирусных эпидемий); именно поэтому была объявлена инициатива Trustworthy Computing, призванная улучшить ситуацию. В свою очередь, сторонники свободного ПО часто ссылаются на безопасность как на одно из ключевых его достоинств.

Уровни безопасности

Реальные проблемы безопасности, однако, нельзя свести к простому, обывательскому представлению. Прежде всего, в разных ситуациях актуальны различные вопросы, связанные с безопасностью.

Так, для пользователя в доме или малом офисе безопасность — это, прежде всего, защита его персонального компьютера. Этот компьютер, как правило, не является сервером, т.е. не предоставляет какие-либо услуги (файлы, веб-страницы) через Сеть. Единственное его назначение — исполнять программы, нужные лично пользователю (его семье, коллегам и т.д.). К нужным программам, разумеется, относится получение и отправка электронной почты, просмотр разнообразной информации из интернета и т.п.

При этом у компьютера нет постоянного квалифицированного системного администратора. В лучшем случае профессионал устанавливает ПО и периодически производит обслуживание. Но нередко даже первоначальная установка ПО, не говоря уже о текущей заботе о состоянии машины, ложится на самого пользователя.

Такой компьютер требует защиты от разнообразных атак (вирусных и других), которые могут нарушить стабильность его работы, похитить конфиденциальную информацию — от паролей для доступа в интернет до номеров кредитных карт, а также частных архивов или бухгалтерии.

Пользователь думает о надежной защите, когда читает статьи о проблеме безопасности в разнообразных изданиях. Именно для обеспечения целостности данных предназначены многочисленные межсетевые экраны и антивирусы, доступные на потребительском рынке.

Безопасность интернет-серверов — проблема совершенно иного уровня. Основная задача серверов — предоставлять информацию пользователям всемирной Сети. На них используется другое ПО, установкой и поддержкой которого занимаются, как правило, профессионалы.

Обеспечить безопасность интернет-сервера сложнее, чем безопасность персонального компьютера. Последний вовсе не должен отвечать на какие-либо запросы из Сети. А сервер обязан предоставлять внешним пользователям нужную информацию — и только её, не позволяя им получить несанкционированный доступ к другим данным.

Почему атаки на интернет-серверы так распространены? Тому может существовать множество причин. Хакеров подталкивают политическая активность, желание подавить деятельность конкурентов, наконец, элементарное хулиганство (ведь результат такой атаки — отключённый сервер или искажённую информацию на нём — увидит весь мир).

Перед средними и крупными компаниями стоит задача безопасности внутренней сети. Она отличается и от обеспечения безопасности персонального компьютера, и от защиты интернет-сервера. Цели атаки на корпоративную сеть могут быть самыми разнообразными — от очередной вирусной эпидемии до попытки похищения конфиденциальных данных. Набор средств также весьма богат — лазейкой может стать не только сервер, соединяющий внутреннюю сеть с интернетом, но и любая пользовательская машина. Причём иногда это происходит при невольном содействии пользователя, которого злоумышленники обманом побуждают к совершению каких-либо действий.

В более серьёзных случаях кибер-преступник может проникнуть в компанию лично, под видом гостя или сотрудника — или даже устроиться в ней на работу, чтобы получить легальный доступ к сети.

Иногда компании, стремясь сократить расходы и надеясь на особую безопасность тех или иных программных решений, пытаются сэкономить на администрировании сетей. В результате квалификации администраторов оказывается недостаточно. Ведь никакое ПО не может заменить людей в таком сложном и важном деле, как обеспечение безопасности корпоративной сети.

О чём говорят цифры?

Поскольку вопросы безопасности стали весьма актуальны в последние годы, аналитики ищут разнообразные возможности для объективных исследований на эту тему. Появляются разнообразные статьи и исследования из самых разных источников, призванные показать сравнительную безопасность тех или иных программных решений.

Некоторые из них становятся сенсацией. Февральское исследование, проведенное mi2g, выявило, что Linux стал наиболее атакуемой системой.

Количество успешных взломов серверов за год

Источник: mi2g

Столь неожиданные результаты вызвали значительную дискуссию. Однако что они отражают в реальности? И о чем могут свидетельствовать любые цифры по вопросу безопасности — даже идеально правильно определённые?

Можно исследовать количество реальных взломов — как это предположительно делает mi2g. Однако далеко не все взломы поддаются наблюдению.

О большинстве успешных взломов корпоративных сетей никто никогда не узнаёт — кроме, конечно, специалистов внутри самих компаний. Никакая компания не решится сообщить о том, что её данные стали достоянием похитителей. Это может катастрофическим образом сказаться на ее рыночном положении, вызвать обвал акций и т.п. (Правительственные ведомства и некоммерческие организации, возможно, меньше зависят от рынка — но и у них достаточно причин молчать о взломах.)

Добиться приемлемых результатов при исследовании безопасности персональных компьютеров (в доме и малом офисе), возможно, несколько легче. Их количество измеряется, как минимум, миллионами; благодаря этому вполне применимы правила социологических исследований, и теоретически возможно создать репрезентативную выборку, следить за компьютерами нескольких тысяч пользователей, особым образом отобранных, и на этом основании делать выводы о ситуации.

Однако обычно исследователи идут по пути наименьшего сопротивления и обращают внимание на те взломы, которые очень легко заметить и проверить. Речь идёт, разумеется, о взломе интернет-серверов. Причём о таком виде взлома, который приводит к заметному изменению данных (например, заменяет веб-страницы на рекламу хакера или его политических взглядов).

Исследователи просматривают некоторую видимую часть интернет-сайтов (вряд ли у них есть возможность отследить действительно всю сеть), замечают взломанные сайты и учитывают их. Результаты отражают, разумеется, только безопасность интернет-серверов — и отнюдь не полностью. Так, некоторые вирусы (из последних, например, Slammer) успешно заражают веб-серверы, но не изменяют их содержимое. Правда, они нередко открывают злоумышленникам возможность произвести такие изменения.

По мнению иностранных специалистов, главной причиной выхода Linux-серверов в лидеры по количеству взломов стал быстрый переход на эту ОС сообщества государственных и неправительственных организаций, при недостаточном обучении персонала. Можно также добавить к этому появление недостаточно квалифицированных и при этом самонадеянных специалистов, которые нередко администрируют интернет-серверы.

Интересно, что ПО, используемое на интернет-серверах под управлением Linux и BSD, в значительной степени совпадает. Как правило, используются лидирующие программы с открытыми исходными и текстами, такие, как Apache. Именно эти программы, а не собственно ядро системы, обычно становятся мишенями атак. Таким образом, столь разные результаты («небезопасный» Linux и «самая безопасная» BSD) относятся к весьма схожим программным системам. Но вот неквалифицированных администраторов Linux существенно больше, чем BSD — во многом из-за веяний моды.

Сайт zone-h.org опубликовал данные по взломам в разные месяцы. Взлом провайдерской машины считается один раз, вне зависимости от количества пострадавших сайтов.

Взломы основных ОС

Источник: zone-h.org

Windows и Linux примерно сравнялись, начиная с марта 2003 года. По мнению аналитиков h-zone, основной причиной улучшения ситуации с безопасностью Windows-серверов стало, как это ни парадоксально, огромное количество вирусов: после Slammer, поражавшего именно серверы, их администраторы стали по возможности регулярно устанавливать «заплатки» от Microsoft.

Ещё один способ получения цифр — подсчёт количества уязвимостей, обнаруженных в разных программных системах, а также времени подготовки «заплаток» к ним. Такое исследование провела, в частности, компания Forrester.

Доступность уязвимости до выхода заплатки к ней

Количество дней с момента обнаружения «дыры» до выхода заплатки к ней

Количество дней, необходимых для распространения информации об обнаруженной уязвимости

Процент критических «дыр» и заплаток к ним

Источник: Forrester Research

Эта компания рассмотрела средние «дни риска» (время от публичного сообщения об уязвимости — предполагается, что атаки на неё начнутся только после этого, — до выпуска «заплатки» поставщиком), а также количество серьёзных среди всех обнаруженных уязвимостей и то, какая часть из них была закрыта.

Прежде всего, авторы обзора рассматривают все уязвимости как равные. То есть, конечно, их критичность указывается — но анализ не учитывает то, на каких компьютерах уязвимость реально может проявляться. Так, заметная часть «дырок» в Linux-системах приходится на интернет-сервисы; если компьютер их вовсе не предоставляет и соответствующие программы на нём даже не установлены, даже самая критичная уязвимость ему не страшна.

В ответе на исследование Forrester создатели дистрибутивов Linux подчеркнули: «Наши пользователи знают, что на действительно критичные проблемы мы реагируем за считанные часы».

Кроме того, в случае Linux авторы измеряют время до появления официального исправления проблемы, поступающего от поставщика дистрибутива. Но если проблема действительно критична, и с системой работает квалифицированный администратор, он может получить и установить обновление и из другого источника.

В обзоре Forrester даже присутствует специальное значение Distribution days of risk — среднее количество дней от появления первой «заплатки» (в любом доступном источнике) до выхода официального исправления в дистрибутиве.

Чтобы получить количество дней (опять же, среднее) от публикации проблемы до появления сколь либо доступной заплатки, придётся вычесть из значения All days of risk значение Distribution days of risk. Тогда окажется, что, например, для Red Hat время неизбежного риска до того, как администратор сможет получить «заплатку» и решить проблему, составляет всего 10 дней. А пользователю Microsoft придётся ждать 25 дней, и даже самый высокий профессионализм не уменьшит этот срок.

Реальное различие систем

Итак, численные исследования не могут дать полное представление о безопасности различных программных систем. По ним получается, что возможности свободного ПО (на базе Linux) и продуктов Microsoft в области безопасности примерно равны — но это равенство оказывается весьма условным из-за неполноты данных. Но каковы же реальные различия? И влияет ли выбор платформы на компьютерную безопасность?

Как мы уже указали, безопасность бывает разная. И для решения различных задач преимущества и недостатки каждого из вариантов будут, разумеется, также разными.

Для персонального компьютера у решений на основе Linux есть огромное преимущество. При установке на такой компьютер Linux позволяет отключить все сетевые сервисы (а если это нужно для локальной сети в доме или офисе, то оставить лишь строго ограниченный набор — например, доступ к файлам и принтерам). Разнообразные уязвимости, возникающие в серверных программах для Linux, попросту не скажутся на таком компьютере.

С другой стороны, решения Microsoft для такого же персонального компьютера зачем-то наполнены многочисленными сервисами, нужными далеко не всегда — но отключить их нельзя, или же очень сложно. Так, многие распространённые «вирусы» (включая Sasser, эпидемия которого прошла совсем недавно) используют уязвимости в механизме RPC (Remote Procedure Call — удалённый вызов процедур), полезность которого для пользовательской машины вообще сомнительна. Правда, через этот механизм работают многие функции Microsoft, предназначенные для корпоративных сетей, — но удару подвергаются компьютеры, которые ни в каких корпоративных сетях не участвуют. Кроме того, эти же функции можно было бы реализовать более корректным образом, без создания постоянных проблем с безопасностью.

Персональный компьютер под управлением Linux, настроенный стандартным образом (именно как рабочая машина, а не сервер), заметно менее уязвим, чем любая Windows-машина. Однако, к сожалению, у такого варианта есть заметные недостатки.

Во-первых, ещё не всё требуемое пользователем ПО доступно под Linux.

Во-вторых, почти любая настройка этой системы, отход от заданных при установке стандартных значений требует достаточной квалификации. Более того — неграмотная настройка может сделать Linux существенно более уязвимым. А настроек «по умолчанию» не всегда достаточно.

Почти все описанные проблемы решаются, если установку системы (а в идеале — ещё и регулярное обслуживание, хотя бы раз в квартал) производит квалифицированный специалист. Он может подстроить работу системы под нужды конкретного пользователя, найти нужное программное обеспечение, а если какая-либо программа под Linux действительно отсутствует — запустить Windows-версию при помощи одного из существующих эмуляторов. (Последний вариант доступен не всегда — например, с трехмерной графикой и последними играми, но зачастую, когда требуются одна-две специфические программы, именно эмуляторы позволяют спокойно перейти на Linux).

Следует заметить, что многие Linux-компании, например ALT Linux, предлагают подобные услуги — причём по меньшей цене, чем легальная лицензия на Microsoft Windows (не говоря уж об Office).

Но если помощь профессионала по какой-либо причине недоступна, Linux может оказаться непозволительной роскошью. Защита Windows также требует усилий, но всё-таки она проще — не придётся изучать настройку новой ОС — достаточно регулярно проводить автоматическую процедуру обновления, а также приобрести и постоянно обновлять антивирусную программу и межсетевой экран. Заметим, впрочем, что сам экран также может содержать уязвимость, и тогда вирус может заразить компьютер уже через него.

Применение BSD на настольных компьютерах связано с заметными сложностями и особого смысла не имеет — кроме как для профессионалов, которые предпочитают именно эту систему.

Для безопасности интернет-сервера решающим фактором является квалификация системного администратора. Это признают очень многие исследователи. Но для квалифицированного специалиста (и только для него) возможности свободного ПО в области безопасности интернет-сервера всё же больше.

Так, «заплатки» для каждой проблемы можно установить отдельно, тогда как в Windows они доступны в виде массивных пакетов. Эти пакеты нередко вызывают проблемы в работе компьютера — а для интернет-сервера даже один час простоя может привести к заметным потерям (как минимум, имиджевым, а нередко и финансовым).

Отсутствие требования перезагрузки компьютера для установки большинства исправлений — также заметное достоинство свободных решений. Есть и другие полезные свойства, которые предоставляют специалисту заметные возможности по обеспечению безопасности.

Выбор между Linux и BSD (обычно в варианте FreeBSD) для интернет-сервера — как правило, «дело вкуса» специалиста. Администраторов BSD в последнее время существенно меньше, чем Linux, зато их средний профессиональный уровень несколько выше. Впрочем, если вас беспокоят результаты исследований, проще выбрать FreeBSD — но ни в коем случае не экономить на администрировании.

Полноценное обеспечение безопасности корпоративной сети требует тщательного планирования и проработанного подхода. Разумеется, его нельзя заменить палочкой-выручалочкой в виде той или иной операционной системы или программного пакета.

Правда, в простых случаях — когда в сети всего несколько компьютеров — заметную пользу может принести специализированное ПО для компьютера, обеспечивающего связь с интернетом. Гибкость решений с открытыми исходными текстами позволила создать подобные готовые пакеты — например, ALT Linux / ИВК «Кольчуга». Такой пакет почти не требует обслуживания профессионалом и при этом заметно улучшает безопасность сети от внешних атак.

Однако, если сеть достаточно крупная или в ней хранятся ценные данные, одних программных решений недостаточно. Даже наличие квалифицированного системного администратора само по себе не решает проблему. Требуется выработка чёткой политики безопасности, обучение пользователей и т.п. Выбор платформы для различных компьютеров в сети — лишь одна из многих задач, которые придётся решить, чтобы избежать открытости сети компании всем ветрам различного вида атак.

Инвестиции в обеспечение безопасности (и стабильной работы) достаточно крупной корпоративной сети должны быть значительными. Причём «простота» администрирования Windows отнюдь не отменяет необходимости в квалифицированных, дорогостоящих специалистах. Более того — для преодоления последствий этой «простоты» нередко требуется большой опыт. Компании, которые полагаются на якобы «низкую полную стоимость владения» Windows и экономят на специалистах, совершают огромную ошибку — и она приводит в лучшем случае к медленной работе и частым простоям, а в худшем — к потере информации.

Никакой выбор платформы не позволит средней или крупной компании отказаться от необходимой работы по обеспечению безопасности. И любая реклама, утверждающая иное — лжива. Возможно, именно такая ложь и является основной причиной нынешних массовых проблем.

Михаил Рамендик /CNews.ru

Алексей Раевский: Пользователи задумываются о защите информации только после ее утечки

О тенденция, проблемах и перспективах рынка ИБ в России, а также об эффективной защите информации в интервью CNews.ru рассказал Алексей Раевский, генеральный директор компании SecurIT.

CNews.ru: Появление стандарта ИСО 15408–2002 в значительной степени облегчает выход отечественных разработчиков на мировые рынки со своими решениями. В какой степени российские компании заинтересованы в освоении международных рынков, ведь многие игроки по-прежнему испытывают дефицит ресурсов для развития?

Алексей Раевский: На мой взгляд, появление этого стандарта — очень позитивный сдвиг для российского рынка систем информационной безопасности. В последнее время Россия взяла уверенный курс на интеграцию в глобальное мировое сообщество, и эта интеграция должна осуществляться на всех уровнях. Принятие международного стандарта благоприятно и для российского рынка, поскольку на нем смогут полноценно работать производители систем информационной безопасности, и для отдельных российских компаний, которые не хотят ограничивать сферу своей деятельности государственной границей РФ. Ведь получить такой сертификат в Европе или США для российской компании на порядок сложнее и накладнее, чем у себя дома.

CNews.ru: В прошлом году ваша компания вышла на рынок Литвы. Является ли это признаком того, что SecurIT основательно закрепилась на внутреннем рынке России?

Алексей Раевский: Во-первых, как определить момент, когда компания закрепилась на рынке? Если речь идет о репутации компании, о том, какое место она занимает в сознании своих потенциальных клиентов, то, на мой взгляд, в этом смысле нельзя расслабляться и говорить, «все, мы закрепились». Хорошая репутация создается годами, и работать над этим надо ежедневно. Для нас первоочередная задача заключается именно в том, чтобы в глазах клиентов выглядеть компанией, предлагающей высококачественные и удобные в использовании системы информационной безопасности, разработанные с использованием самых передовых технологий и учитывающие основные потребности клиентов. А положение на рынке — это уже вторично.

Во-вторых, мы не считаем, что выходить на зарубежные рынки нужно только после достижения определенного положения дома. Если есть спрос на наши продукты в Литве, в Германии или в Гондурасе — мы будем рассматривать варианты сотрудничества и продвижения на этих рынках.

Полный текст интервью