Компания IDC провела в Москве традиционную конференцию «Информационная безопасность предприятия». Ключевым докладчиком в этом году был Себастьян Шрайбер, который обещал продемонстрировать за десять минут пять уязвимостей. Однако удалось продемонстрировать «только» три типа атак: удаленное управление телефоном Nokia с помощью «троянца», поиск паролей с помощью Google и аппаратный шпион, выполненный в виде USB-удлинителя.
Шрайбер работает экспертом по информационной безопасности в немецкой компании SySS, которая специализируется на тестах на проникновение. Ее сотрудники предоставляют свои услуги Hewlett-Packard, Sun Microsystems и ряду других крупных компаний. В частности, специалисты SySS могут с помощью GPS-приемника и модуля Wi-Fi построить для офисов карты доступности беспроводных соединений. «Часто компании забывают правильно настроить защиту беспроводной сети, — заметил Шрайбер, — это упрощает атаку на информационную систему предприятия».
В некоторых случаях используется недостаточная защита беспроводных соединений, например, с помощью скрытия идентификатора сети SSID или шифрования по протоколу WEP (Wireless Encryption Protocol). Для обоих случаев есть способы снятия защиты. Но даже при использовании сильного шифрования по протоколу WPA2 (Wi-Fi Protected Access) специалисты SySS пытаются атаковать сеть с помощью фиктивной базовой станции.
Шрайбер также рекомендовал компаниям заниматься защитой атак с помощью средств социальной инженерии. Атаки этого типа считаются довольно сложными и используются только для целенаправленных взломов. Впрочем, в некоторых случаях и троянские программы могут использовать определенные приемы социальной инженерии. К сожалению, для атак такого типа сложно придумать техническое средство защиты, а единственным действенным методом является обучение.
«Чтобы защититься от социальной инженерии, — заявил Шрайбер, — нужно обучать и дрессировать ваших пользователей».
Для полноценной защиты информационной системы нужно как минимум закрыть все известные уязвимости базового программного обеспечения. Именно такое решение предлагает компания Tipping Point, входящая ныне в состав 3Com. Она выпускает устройство, которое определяет в сетевом трафике попытки использования найденных уязвимостей и блокирует атаки с их помощью. То есть даже если производитель еще не выпустил исправлений для своего продукта, то хакер не сможет использовать уязвимость для атаки — устройство Tipping Point на уровне сети выявит попытку атаки на переполнение буфера и заблокирует соответствующий пакет данных. Ежедневно компании приходится выпускать 10-15 фильтров для защиты от уязвимостей, а всего таких фильтров уже более 3 тыс.
Для повышения эффективности работы Tipping Point покупает сведения о найденных уязвимостях у исследователей и передает их производителям программного обеспечения. Контракт с исследователем, который обнаружил уязвимость, запрещает ему публиковать информацию о ней до выхода исправлений от производителя. Цена на бреши в защите договорная. Всего за два с половиной года существования этой инициативы таким образом было куплено более 400 уязвимостей. Инициатива Tipping Point, помимо прочего, демонстрирует способ обелить рынок торговли «дырами» в программах и сделать заработки исследователей уязвимостей абсолютно законными.