Информационная безопасность: пляски с бубном

«Секретный» вопрос как уязвимость пароля

Исследование кембриджского ученого Джозефа Бонно показало, что «секретные» вопросы, на которые пользователи отвечают, когда хотят восстановить пароль от почты, не защищают от злоумышленников – их очень легко подобрать. Эксперимент продемонстрировал, что путем подбора ответов на вспомогательные вопросы можно взломать каждый 80-й аккаунт.

Исследователи из Кембриджа (Бонно и двое его коллег) проанализировали 270 млн аккаунтов в Facebook. Выяснилось, что если кто-то хочет взломать почтовый аккаунт другого человека путем подбора ответов на вопрос, ему вполне может хватить нескольких часов для поиска соответствующей информации. И это при условии, что, как правило, система безопасности предоставляет три попытки ответить на вопрос – а затем временно блокирует аккаунт.

Информация, которую пользователи сообщают в качестве ответов на вспомогательные вопросы во время регистрации аккаунтов, может быть публичной и широко известной – включая девичью фамилию матери или ее второе имя (такие данные при удачном для злоумышленника раскладе можно легко найти в Google). Кроме того, пользователи часто не задумываются о том, что подобрать ответ на их вопрос можно просто наугад.

Например, многим кажется хорошим и очень личным вопросом «фамилия первой учительницы», и злоумышленник действительно может не знать ответа (если только почту не взламывает старый школьный товарищ). Но если фамилия первой учительницы – миссис Смит, то ее можно подобрать, даже не зная правильного ответа, так как в мире живет множество преподавательниц младших классов, которых так зовут.

По словам Бонно, исследователи даже не предполагали, что результаты будут такими грустными. Если учесть, что систему вопросов используют также банки и другие серьезные учреждения, а к почтовым адресам, как правило, привязаны разные сервисы, можно представить масштабы проблемы. Стоит отметить, что зачастую вспомогательные вопросы даже не нужны – многие юзвери используют для доступа к своим почтовым ящикам и аккаунтам в социальных сетях пароли вроде «123456».

Ситуацию можно улучшить, считают исследователи, если отказаться от примитивной и, по большому счету, никого не защищающей системы вспомогательных вопросов, используя другие средства. Либо усложнить процесс, заставив пользователя отвечать сразу на несколько вопросов.

Дожили: Microsoft выпустит патч для патча

Корпорация Microsoft подтвердила, что выпустит обновление для недавно выпущенного исправления офисного пакета Microsoft Office 2003 и 2007. Дело в том, что после установки исправлений KB978471 или KB978474 в англоязычной версии Excel начинались проблемы с кодировками, и англоязычный текст отображался в иероглифах.

Последний набор патчей стал неоднозначным сразу по нескольким причинам: во-первых, в нем не была устранена критическая уязвимость в Internet Explorer, позволяющая получить удаленный несанкционированный доступ к данным пользователя, во-вторых, появилась проблема с пакетом Excel, и софтверный гигант вынужден выпускать «патч для патча».

В Office Sustained Engineering признают: «Мы получили данные от пользователей Excel 2003 и 2007, свидетельствующие о наличии проблем в исправлении KB 978471 и KB 978474. Многие пользователи утверждают, что видят нелатинские тексты в Excel и ряде меню этой программы. Помимо этого, неверно отображаются данные об Excel и в меню Добавления/Удаления программ». По данным Microsoft, в Добавлении/Удалении программ данные об Excel после инсталляции патчей начинают отображаться на упрощенном варианте китайского.

В корпорации подчеркивают, что никакой угрозы безопасности в данной ошибке нет. Но месяц назад компания выпустила обновления для .NET 4.0 и Office 2007, которые вызывали крах офисного пакета при запуске в среде Windows Server 2008 и Server 2008 R2.

Сколько заработали кибермошенники?

В 2009 году онлайн-мошенники преступным путем выручили в США $560 млн. По сведениям Internet Crime Complaint Center («Центр жалоб по преступлениям в Интернете», IC3), за год объем мошенничеств удвоился, сообщается в пресс-релизе ФБР. Количество зарегистрированных жалоб пострадавших от онлайн-мошенников составило более 336 тысяч, что на 22% выше, чем годом ранее. Для сравнения, в 2007 году было зарегистрировано немногим более 200 тыс. жалоб.

Мошенники чаще всего использовали в ходе своих действий имя ФБР. На долю подобных преступлений пришлось 16,6% от общего числа зарегистрированных обращений. В бюро привели несколько примеров мошеннических схем. Так, одна из них предусматривала рассылку сообщений по электронной почте от имени заместителя директора ФБР Джона Пистола. В сообщениях мошенники просили граждан перечислить средства на их счет, чтобы впоследствии получить большую сумму.

Вторым наиболее распространенным преступлением стала недоставка товара или невыплата причитающихся за товар средств – 11,9%. Еще одной популярной схемой была рассылка сообщений, в которых отправитель сообщал, будто его наняли с целью убить получателя письма. Мошенники просили выслать им $800 в течение 72 часов, чтобы заказ был «снят».

IC3 был основан ФБР и центром National White Collar Crime Center (Национальный центр по борьбе с преступлениями в интеллектуальной сфере, NWC3). Он предоставляет пострадавшим от интернет-мошенничества механизм, позволяющий подать соответствующую жалобу в правоохранительные органы США. Его отчеты о преступности в Сети выходят регулярно с 2001 года.

IAM наш насущный

Эксперты компании Gartner прогнозируют, что общемировые доходы в сфере Identity & Access Management (IAM – идентификация и управление доступом) достигнут в 2010 году $9,9 млрд. Это на 8% выше, чем в 2009-м ($9,2 млрд). Специалисты уверены, что требования к соответствию, аудиту и аналитике продолжают оставаться главными факторами, которые влияют на инвестиции в IAM, наряду с производительностью труда и интеграцией IAM- решений.

«Хотя экономический спад и повлиял на IAM-рынок, тот оказался довольно живуч и наряду с другими областями систем безопасности имеет более высокий приоритет по сравнению с другими технологиями. IAM-технология является ключевым компонентом стратегии безопасности на предприятии, и клиенты Gartner отметили, что почти 8% их бюджета предназначены для реализации IAM», – говорит ведущий аналитик Gartner Руджеро Конту. В целом IAM-рынок должен к концу 2013 года вырасти до $11,9 млрд. По мнению Конту, IAM-продукция продолжит привлекать интерес и инвестиции и в последующие несколько лет, поскольку она позволяет компаниям совершенствовать и автоматизировать процессы, имеющие отношение к управлению доступом.

Тем не менее, на эволюцию рынка повлияли как внутренние, так и внешние факторы. Если говорить о внутренних факторах, то слияния и приобретения привели к консолидации IAM-поставщиков вокруг крупных и известных игроков рынка, особенно в таких ключевых областях, как управление предоставлением услуг пользователям и доступом в сеть. Если речь идет о внешних факторах, то здесь на уровни расходов на IAM и модели предоставления услуг, которые выбирают конечные пользователи, повлияли и экономический спад, и последующее урезание IТ-бюджетов с соответствующим увеличением спроса на IAM как сервисный вид продукции.

Данные, собранные Gartner по вопросам IAM в США, странах Европы, Ближнего Востока и Африки в 2009 году, показали, какие технологии считаются наиболее ценными и могут использоваться в качестве части корпоративной стратегии IAM. Наряду с новыми продуктами упоминались и давно применяемые сформировавшиеся инструменты, а среди областей, демонстрирующих самый высокий процент интереса, был ролевой доступ, сопровождаемый принципом единственной подписи. Среди IAM-технологий наибольшую важность представляют продукты, относящиеся к управлению привилегированными аккаунтами и дающими права администрирования.

Сейчас организации предпочитают иметь дело с IAM-технологиями и, похоже, что в стратегиях закупки они занимают ведущее место. Почти 40% опрошенных компаний указали, что последующие несколько лет будут оказывать предпочтение именно таким технологиям.

Функциональные возможности IAM все еще находятся на ранней стадии развития, поскольку респонденты отметили, что на IAM-технологии, приобретенные по модели SaaS, тратится только 1-5% IAM-бюджета. Однако из-за экономических и технологических факторов и растущей доступности SaaS ожидается, что закупки IAM в ближайшее время увеличатся. Это подтверждает опрос Gartner, в котором приняли участие 111 конечных пользователей из Северной Америки и стран Европы, Ближнего Востока и Африки. 27% предприятий, опрошенных в 2009 году, ожидают увеличения расходов на продукты IAM к 2011 году.

«Иерархия требований IAM как услуги будет развиваться в последующие несколько лет, начиная с основных требований к аутентичности и управлению доступом и заканчивая функциональностью предоставления услуг и администрированием. Также будут быстро развиваться услуги по протоколированию и анализу для уже существующих на предприятии IAМ, чтобы удовлетворить усложняющиеся IAM-требования без массового увеличения IAM-решений», – считает Конту.

Аналитики Gartner прогнозируют, что «конструкция» облачных вычислений для персональных облаков потребует специфических функциональных возможностей IAM как услуги для поддержания масштаба и обеспечения стандартных требований по предоставлению услуг. Общедоступные облачные вычисления будут стимулировать развитие IAM-стандартов, а многочисленные вендоры будут бороться за роль «провайдера-инструментария» и для общедоступных, и для персональных облаков. «Мы полагаем, что новые поставщики выйдут на рынок IAM как услуги из весьма неожиданных сегментов (например, виртуализации и сетевых вычислений), и они будут пытаться обеспечить обширные условия предоставления услуг для баз данных, администрирования и протоколирования» – резюмируют в Gartner.

IT-безопасность: софтверные новости

Компания «Доктор Веб» выпустила решение, предназначенное для централизованной защиты в режиме реального времени встроенных компьютерных систем (банкоматов, мультикиосков, кассовых систем и др.).

Сегодня внимание киберпреступников к средствам автоматизированной выдачи и приема наличных денег становится все более пристальным, и сообщения о хакерских атаках на банкоматы в России и в мире все чаще мелькают среди IТ-новостей. Действия мошенников не только несут угрозу серьезных финансовых потерь для пользователей и владельцев банкоматов, но и подрывают доверие к банкам со стороны клиентов.

Новый продукт от «Доктор Веб» – Dr.Web ATM Shield – основан на флагманском решении компании – Dr.Web Enterprise Suite. Ему присущи те же сильные стороны, что и данный комплекс: централизованное управление антивирусной защитой, высокая масштабируемость, экономия трафика локальной сети, возможность контроля за действиями сотрудников. Это позволяет защитить встроенные системы в сетях любого масштаба при минимальных затратах на развертывание и обслуживание ПО.

Использование Dr.Web ATM Shield должно многократно снизить вероятность финансовых потерь вследствие попыток виртуального взлома. Осталось проверить новинку на практике и узнать – действительно ли она эффективна.

Компания Apple выпустила обновление для своего браузера Safari, устраняющее 16 брешей в системе безопасности. Safari 4.0.5, доступный в настоящее время в версиях для Mac OS X и Windows, закрывает ряд багов с целочисленными переполнениями буфера и переполнением буфера в таких компонентах, как ColorSync, ImageIO и PubSub. Кроме того, устранен ряд возможностей непредумышленного разглашения информации.

Непропатченные машины под управлением ОС Windows подвергаются большему риску, чем компьютеры на базе Mac OS, поскольку имеющиеся в браузере бреши могут быть использованы злоумышленниками для инициации атак, эффективных только против ОС от Microsoft. Впрочем, баги в движке WebKit делают обновление до новой версии обязательным для всех платформ.

Уязвимости: от виртуальных серверов такого не ждали

Новое исследование, проведенное аналитическим агентством Gartner, свидетельствует: 60% виртуальных серверов менее безопасны, чем физические машины. Согласно прогнозу, такое положение дел сохранится до 2012 года, после чего ситуация должна существенно улучшиться. К 2015 году, например, лишь 30% виртуальных серверов будут менее безопасными, чем те аппаратные средства, на смену которым они придут.

По информации Gartner, виртуализация стремительно набирает обороты. Так, если в настоящее время виртуализировано лишь 18% загрузки центров обработки данных, пригодной для виртуализации, то к концу 2012 года этот показатель превысит 50%. Эксперты Gartner выделяют несколько основных факторов риска. В первую очередь, 40% проектов по проведению виртуализации изначально не предусматривают участия в процессе специалистов по компьютерной безопасности.

Во-вторых, аналитики Gartner отмечают: угрозы на уровне виртуализации могут негативно отразиться на всей имеющейся нагрузке. В то же время гипервизор, будучи новой платформой, подвержен новым, порой еще не изученным уязвимостям, поэтому эксперты советуют расценивать этот уровень как наиболее важный, и по возможности делать его максимально прозрачным, одновременно с этим ограничивая возможности по несанкционированному изменению конфигурации.

Кроме того, необходимо акцентировать внимание на том, что сетевые средства обеспечения безопасности не способны отслеживать обмен данными между виртуальными машинами, развернутыми внутри одного физического хоста, при этом выполнение задач с разным уровнем ограничения доступа зачастую осуществляется на одной и той же машине без необходимого разделения.

В заключение Gartner предостерегает о том, что системы виртуализации далеко не всегда способны предоставить адекватный контроль административного доступа к гипервизору и виртуальным машинам, что может привести к утечке данных после того, как пользователи или администраторы получат доступ к той информации, права на просмотр которой у них отсутствуют.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 14 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета