100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №71 «Сертификату, выпущенному удостоверяющим центром, можно доверять»17.03.2010 19:04
Миф №72 «Пароль нужно менять каждые 30 дней»25.03.2010 01:17
Подобный материал:
1   ...   43   44   45   46   47   48   49   50   ...   69

Миф №71 «Сертификату, выпущенному удостоверяющим центром, можно доверять»17.03.2010 19:04


Сейчас, в эпоху Интернет, когда миллионы людей общаются, не видя друг друга, как никогда остро встает вопрос проверки подлинности удаленного собеседника; будь то бизнес-партнер, коллега или просто друг. Одной из распространенных рекомендаций является использование сертификатов открытых ключей, выдаваемых различными удостоверяющими центрами (УЦ). Такие центры по сути своей выступают в роли Интернет-адвокатов, которые удостоверяют одних пользователей сети Интернет перед другими.

Но кто дал право УЦ выдавать сертификаты? На каком основании? А главное, почему я должен им доверять? Посмотрите, сейчас только ленивый не выпускает сертификаты – в едином государственном реестре сертификатов (r-pki.ru/) несколько десятков отечественных УЦ. Зарубежных и того больше. Но самое главное, что получить такой сертификат может любой пользователь сети. И даже если УЦ имеет право выдавать сертификаты, где гарантия, что пользователи, их получившие, не жулики, скрывающиеся под маской добропорядочного гражданина Сети? Я, например, имею сертификат Thawte (e.com/) и получил я его очень просто. Зашел на сайт и получил, введя идентифицирующие себя данные. Но проверял ли Thawte мои данные? Это врядли. А, следовательно, я могу выдать себя за кого угодно. Хоть за президента Путина. УЦ не несет никакой ответственности за содержимое сертификата. В России для получения сертификата необходимо представить удостоверение личности, но и то не всегда. Ситуация усугубляется тем фактом, что некоторые УЦ принимают документы на оформление сертификата по обычной почте – достаточно зарегистрировать сертификат на украденные реквизиты паспорта.

Не случайно на сайте компании Сигнал-КОМ, предоставляющей услуги УЦ (ary.ru/), прямо написано: «подписчики и пользователи сертификатов могут не доверять друг другу, но они обязаны доверять УЦ – именно на таком доверии построен механизм аутентификации открытых ключей». В области информационной безопасности тема доверия достаточно сложная и спорная; особенно, что касается удаленного взаимодействия людей, не знающих друг друга. Что же касается сертификатов, то надо четко понимать, что сертификатам удостоверяющих центров доверять надо только с определенной долей вероятности, потому что вы не знаете о том, от кого действительно или кому действительно принадлежит тот или иной сертификат. Если в нем написано, что сертификат выдан Иванову Ивану Ивановичу, то на самом деле это может быть совершенно не так. Гражданин Иванов и не слыхивал о том, что кто-то получил сертификат на его имя. Или он кому-то доверил выдачу этого сертификата, или получение этого сертификата. И кто-то от лица Ивана Ивановича будет пользоваться его сертификатом, его ключом ЭЦП, подписывать электронные документы от его имени. Ну, в обычной деловой практике, наверное, это возможно (например, факсимиле подписи), но достаточно одного случая, чтобы кто-то со злым умыслом воспользовался этим сертификатом от имени Ивана Ивановича и дальше начинаются проблемы. Он, т.е. Иван Иванович, начинает говорить, о том, что он никому прав не давал и т.д., и в итоге проигрываете вы, если вы совершили какую-то сделку с этим мнимым Иваном Ивановичем. Разумеется, в том случае, если при заключении договора с удостоверяющим центром в нем четко прописано, что любые документы, подписанные или утвержденные данным сертификатом, являются подлинными (по аналогии с договором на Интернет-банкинг или на договор обслуживания банковской карты), в данном случае, конечно, Ивану Ивановичу не отвертеться. Но если этого нет, то проигравшим будете вы. Поэтому при внедрении инфраструктуры открытых ключей или, что более важно, при начале использования или подключения к ней, к какой-то уже созданной инфраструктуре открытых ключей, необходимо четко проанализировать все вопросы, связанные с подлинностью и доверием. Как удостоверяющий центр проверяет подлинность тех абонентов, от имени которых он получает открытые ключи и для которых он подписывает сертификаты? Как происходит отзыв компрометированных сертификатов? Какова процедура разбора конфликтов? Если эта процедура невнятно написана или она попросту отсутствует, и удостоверяющий центр выдает сертификаты абсолютно всем без разбора, то я бы к такой системе не подключался. Потому что практического толка от нее не будет. Просто небольшое баловство. Высокотехнологичное, интересное, забавное, - да, но для бизнеса никакой пользы оно не несет.

Миф №72 «Пароль нужно менять каждые 30 дней»25.03.2010 01:17


Во многих компаниях, в политике информационной безопасности немалое внимание уделяется паролям и правилам их использования. Одним из таких «незыблемых» правил является обязательная смена паролей. Как минимум, службы информационной безопасности требуют регулярной смены паролей (в интервале от 30 до 60 дней). В более сложных случаях контролируется не только возраст пароля, но и его т.н. история (password history), запрещающая пользователям выбирать свои старые, ранее уже использованные пароли. И уж совсем параноидальные настройки системы защиты обязывают пользователя поменять не менее заданного количества символов, гарантируя, что новый пароль существенным образом отличается от предыдущего (это предотвращает, например, замену пароля password1 на password2).

Суть таких правил должна заключаться в том, чтобы затруднить злоумышленникам подбор паролей, которые с течением времени могут утечь за пределы охраняемого периметра или из головы пользователя. И последнее вполне вероятно, учитывая требования, предъявляемые службами ИБ к своими подопечным. Пользователи просто не в состоянии запоминать длинные и бессмысленные комбинации символов, предлагаемых в качестве паролей. В итоге пароли записываются на стикерсах или выбираются настолько тривиально, что их подбор занимает всего несколько минут на обычном персональном компьютере.

Рекомендация регулярной смены паролей по сути своей борется со следствием, а не причиной. Гораздо эффективнее следующие меры:
  • Предотвращайте использование одной учетной записи несколькими пользователями. Такое часто бывает для учетной записи администраторы системы. Вместо того, чтобы наделять отдельных пользователей повышенными привилегиями, специалисты по защите считают, что эффективнее контролировать одну учетную запись, а не несколько. На практике оказывается, что и пароль к такой учетной записи скоро узнают все, и понять из журнала регистрации, кто же работал с правами администратора в конкретный момент времени, невозможно.
  • Блокируйте неиспользуемые учетные записи. Если пользователь ушел в отпуск или уволился, то необходимо временно или на постоянной основе заблокировать его учетную запись. Не должно быть ситуаций, когда учетные записи существуют годами, в то время как сотрудников, скрывающихся за ними, уже давно нет. В качестве примера могу привести собственный случай – я до сих пор имею учетную запись с расширенными полномочиями на сайте компании, в которой когда-то работал. А с момента моего увольнения прошло уже немало лет.
  • Повышение осведомленности и обучение пользователей. Это самая эффективная рекомендация. Вместо того чтобы быть бутылочным горлышком в системе защиты предприятия и пытаться затыкать собой все возникающие задачи, гораздо эффективнее возложить базовые вещи на пользователей, обучив их несложным правилам выбора и использования паролей. Я о них уже писал в других мифах.