Γιατί είναι πρακτικώς αδύνατη η δημιουργία ενός απόρθητου δικτύου ή ενός απαραβίαστου server
27/4/2001 (Κάποιες άγνωστες, αλλά πολύ χρήσιμες διαπιστώσεις)
Γιώργος Επιτήδειος,
gepiti@gepiti.com
Δεν ξέρω αν το έχετε προσέξει, αλλά όσες παραβιάσεις συστημάτων ασφαλείας στο Internet βλέπουν το φως της δημοσιότητας έχουν ένα κοινό χαρακτηριστικό: Ο εισβολέας εκμεταλλεύτηκε πάντοτε ένα γνωστό και ήδη δημοσιευμένο ελάττωμα (vulnerability) για το οποίο υπήρχε ήδη διαθέσιμο "αντίδοτο" (patch) το οποίο όμως δεν είχε εγκατασταθεί στο συγκεκριμένο δίκτυο ή μηχάνημα. Χαρακτηριστικό παράδειγμα αυτής της, μονίμως επαναλαμβανόμενης κατάστασης, αποτελεί η πρόσφατη εισβολή ανατολικοευρωπαίων crackers στους servers 40 εταιρειών και η κλοπή των στοιχείων χιλιάδων πιστωτικών καρτών, καθώς και η παραβίαση των συστημάτων ασφαλείας της ίδιας της Microsoft η οποία επιτεύχθηκε χάρη στην αμέλεια των administrators της εταιρείας να εγκαταστήσουν τα patches που η ίδια παράγει!
Εκ πρώτης όψεως, το πρόβλημα φαίνεται να βρίσκεται στην αδιαφορία ή στον υπερβολικό φόρτο εργασίας των διαχειριστών κάθε δικτύου οι οποίοι δεν φροντίζουν να το κρατούν καλά προστατευμένο, κλείνοντας επιμελώς όποια "τρύπα" ανακαλύπτεται. Στην πραγματικότητα όμως ένα τέτοιο συμπέρασμα θα ήταν άδικο. Το πραγματικό πρόβλημα δεν βρίσκεται στην αδιαφορία των χρηστών ή των administrators, αλλά στο γεγονός ότι ο αριθμός των patches είναι πλέον εξαιρετικά μεγάλος.
Κάθε εβδομάδα ανακοινώνονται περίπου 20 νέα vulnerabilities, ενώ μόνο για το Microsoft Outlook εκδόθηκαν περισσότερα από 12 patches μέσα στο έτος 2000. Είναι λοιπόν αδύνατον για τον μέσο χρήστη (δηλαδή για σας και για μένα) να παρακολουθεί τις εξελίξεις, προστατεύοντας αποτελεσματικά το σύστημά του (π.χ. αν στο PC μου έχω εγκατεστημένες 10 εφαρμογές μπορεί να πρέπει να εγκαθιστώ 10Χ12=120 patches το χρόνο, δηλαδή ένα κάθε 3 ημέρες!)
Τα πράγματα είναι φυσικά πολύ χειρότερα για τους επαγγελματίες μια και συνήθως διαχειρίζονται δίκτυα με δεκάδες μηχανήματα και εκατοντάδες εφαρμογές. Κάθε καινούριο vulnerability και κάθε νέο patch υποχρεώνει αυτούς τους ανθρώπους να εγκαταστήσουν, να ρυθμίσουν και να ελέγξουν από την αρχή δεκάδες πράγματα καθένα από τα οποία όχι μόνο απαιτεί μεγάλο κόπο, αλλά και τους υποχρεώνει συχνά να τροποποιήσουν τη βασική αρχιτεκτονική του δικτύου τους, κάνοντάς το πιο ευάλωτο σε άλλα vulnerabilities από τα οποία μέχρι τότε ήταν προστατευμένοι!
Δυστυχώς, σε αυτό το πρόβλημα δεν φαίνεται να υπάρχει λύση καθώς, όσο επεκτείνονται οι δυνατότητες των εφαρμογών και των μηχανημάτων που χρησιμοποιούμε τόσο μεγαλώνει και η πολυπλοκότητά τους, αυξάνοντας παράλληλα τις πιθανότητες να αποδειχθεί ανασφαλές κάποιο τμήμα τους. Γι' αυτό, πολλοί ειδικοί προτείνουν να εγκαταλείψουμε αυτόν τον τρόπο προσέγγισης, να αναγνωρίσουμε ότι δεν μπορούμε να εμποδίσουμε τον επιτιθέμενο να μπει μέσα στη χώρα μας (δηλαδή στο δίκτυό μας) και να επικεντρώσουμε τις προσπάθειές μας στην εκδίωξή του πριν προλάβει να προκαλέσει κάποια καταστροφή.
Σε έναν "παραδοσιακό" πόλεμο ο αμυνόμενος γνωρίζει πολύ καλά το έδαφός του και μπορεί να επιλέξει ο ίδιος σε ποιο σημείο (ευνοϊκό για τον ίδιο φυσικά) θα δώσει τη μάχη του. Μπορεί να συγκεντρώσει τις δυνάμεις του πίσω από ένα αδιάβατο ποτάμι, πάνω σε ένα απότομο βουνό, μέσα σε μια στενή κοιλάδα ή όπου αλλού επιθυμεί. Αντίθετα, ο εισβολέας δεν γνωρίζει την τοπογραφία του χώρου και δεν επιλέγει ο ίδιος σε ποιο έδαφος θα κινηθεί. Είναι υποχρεωμένος λοιπόν να αναζητήσει τον εχθρό και να δώσει τη μάχη όπου αποφασίσει ο αμυνόμενος.
Μεταφέροντας την ίδια συλλογιστική στον χώρο των δικτύων, ο εισβολέας δεν γνωρίζει τίποτε για την αρχιτεκτονική, τις ρυθμίσεις και τις λειτουργίες του συστήματος μέσα στο οποίο βρίσκεται. Για αρκετό καιρό λοιπόν, είναι υποχρεωμένος να κινείται "αναγνωριστικά" μέχρι να καταλάβει τι συμβαίνει μέσα σε αυτόν τον χώρο και πώς πρέπει να κινηθεί για να επιτύχει το σκοπό του.
Έτσι, ο αποτελεσματικός security expert προσπαθεί βέβαια να καλύψει όλα τα ευάλωτα σημεία της περιφέρειας του δικτύου του, αλλά φροντίζει και για τη δημιουργία μιας δεύτερης γραμμής άμυνας, χρησιμοποιώντας συστήματα Intrusion Detection. Με τον τρόπο αυτό παρακολουθεί επισταμένα όσα συμβαίνουν μέσα στο δίκτυό του, αναγνωρίζοντας τις ύποπτες κινήσεις ενός εισβολέα και αντιμετωπίζοντάς τις πριν να είναι αργά. (Όταν ο "εχθρός" έχει μεν εισχωρήσει μέσα στο σύστημα, αλλά δεν έχει ακόμη προλάβει να προκαλέσει κάποια καταστροφή.)
Δυστυχώς, η προσέγγιση αυτή δεν είναι καθόλου δημοφιλής, καθώς απέχει πάρα πολύ από τη νοοτροπία και τις συνήθειες του μέσου "κομπιουτερά". Οι άνθρωποι της πληροφορικής έχουν μάθει να αντιμετωπίζουν όλα τα προβλήματα με αυτόματους μηχανισμούς οι οποίοι λειτουργούν ακούραστα όλο το 24ωρο, εκτελώντας βαρετές και κουραστικές εργασίες.
Καμία εφαρμογή Intrusion Detection όμως δεν παρέχει αυτόματα το ιδανικό επίπεδο προστασίας. Πρόκειται για ένα εργαλείο το οποίο πρέπει να παρακολουθείται συνεχώς από εξειδικευμένο προσωπικό το οποίο θα το ρυθμίζει συχνά και θα διαθέτει τις γνώσεις και την εμπειρία να αναγνωρίσει ποιες από τις "ύποπτες" δραστηριότητες ενός δικτύου αποτελούν προάγγελο μελλοντικών απειλών και ποιες είναι αθώα false alarms.
Όπως τονίζουν πάντοτε οι μεγαλύτεροι security experts, η ασφάλεια δικτύων (όπως και κάθε μορφής ασφάλεια) αποτελεί μια δραστηριότητα η οποία δεν τελειώνει ποτέ. Πρόκειται για έναν τρόπο ζωής τον οποίο πρέπει να υιοθετήσεις και να ακολουθείς πιστά, χωρίς παρεκκλίσεις ή συμβιβασμούς, διότι δεν υπάρχουν ούτε εύκολες λύσεις ούτε αυτόματες διαδικασίες εφαρμογής.
Δυστυχώς όμως αυτή η πολιτική είναι εξαιρετικά δύσκολο να υλοποιηθεί μια και ελάχιστοι administrators είναι διατεθειμένοι να υιοθετήσουν αυτή την προσέγγιση, ενώ ακόμη λιγότεροι είναι οι managers που μπορούν να εκτιμήσουν και να ανταμείψουν μια τέτοια στάση.
Απ' ό,τι φαίνεται λοιπόν ο κίνδυνος του cracking (και όχι του hacking όπως συχνά αναφέρεται) θα μας συνοδεύει για πολλές δεκαετίες ακόμη. Γι' αυτό, καλή τύχη σε όλους μας και καλά σας backup (αφού θα μας πάρουν που θα μας πάρουν όλα μας τα δεδομένα, ας κρατήσουμε τουλάχιστον ένα πρόσφατο αντίγραφο).
Γιώργος Επιτήδειος
Επιστροφή στο Αρχείο ’ρθρων Παλαιών Τευχών Επιστροφή στις Επιχειρηματικές Σελίδες © 2005 Γιώργος Επιτήδειος Υποδείξεις, Ερωτήσεις, Σχόλια στην διεύθυνση gepiti@gepiti.com |