Десять аксиом кибербезопасности. Аксиома третья. Принцип «безопасность через неизвестность» не работает

Задайтесь вопросом, если вы храните деньги дома, то где это «секретное» место?

Аксимомы кибербезопасности:

Взломать можно абсолютно все.
Доверять нельзя никому.
Принцип «безопасность через неизвестность» не работает.
Знай свои актив.
Безопасность на уровне бизнес.

В настоящий момент ФСТЭК, основной регулятор в области информационной безопасности в России, не только активно вводит новые требования по безопасности, но и пересматривает ранее выпущенные, делая их более релевантными современным регламентам и современным угрозам. При этом ФСТЭК возвращается к своим истокам и ставит на свои документы метку «для служебного пользования», что существенно усложняет доступ к ним для тех, кто хотел бы знать и выполнять новые требования. Один из мотивов регулятора – желание обезопасить свои требования от потенциальных врагов, которые могут узнать, как защищаются органы государственной власти Российской Федерации и обойти предупредительные меры.

Эта довольно спорная позиция очень хорошо отражает мнение немалого количества специалистов по безопасности, которые до сих пор считают, что принцип «безопасность через неизвестность» (security through obscurity), то есть скрытие описания системы защиты от нарушителей работает и помогает сделать систему более защищенной. И даже если в системе существуют уязвимости, то злоумышленник о них не узнает и не сможет ими воспользоваться (отчасти поэтому очень редко на сайтах российских разработчиков средств защиты можно встретить списки уязвимостей в их продукции и деталей по их устранению).

Секрет Полишинеля

В моем детстве родители часто оставляли ключ от входной двери в квартиру под ковриком. Почему-то считалось, что никто (ни воры, ни соседи) не знает этого секрета и не видит, как я иногда залезаю под коврик и достаю ключ от дома. Помните фрагмент из второго «Терминатора», где сын Сары Коннор учит Терминатора, где находится ключ зажигания у владельцев американских автомобилей (за противосолнечным козырьком)? Это два ярких примера принципа «безопасность через неизвестность», который сегодня уже не работает так, как это было много лет назад, когда его придумали и когда информационная безопасность была уделом спецслужб. Задайтесь вопросом, если вы храните деньги дома, то где это «секретное» место? Поговорив со следователями и оперативниками МВД, вы узнаете, что большинство жителей квартир используют обычно одни и те же места для хранения своих заначек – в тумбочках, в книгах, за зеркалами и картинами, в бельевом шкафу, в бачке унитаза, в банках для круп и т. п., и ворам прекрасно известны такие места. Мы думаем, будто знаем лучше воров, как надо прятать деньги, хотя это и не так.

В 1996 году на рынке появились первые DVD, которые были защищены от нелегального копирования. Доступ к спецификациям, описывающим метод защиты, был закрыт и предусмотрен только для тех производителей, кто подписывал соответствующие соглашения с компанией «Матсушита». Детали системы шифрования контента на дисках оставался секретным недолго – в октябре 1999-го Йон Йохансен, известный как DVD Jon, опубликовал на хакерском форуме программу, позволявшую обходить охранительные барьеры. Произошло это из-за низкого уровня защищенности полученных секретов у одного из производителей – компании XING Technology. Попытки остановить распространение метода дешифрования DVD привели к эффекту Барбары Стрейзанд – исходный код программы для взлома печатали на футболках и галстуках, передавали по радио и даже в виде стихотворений хокку.

Десять лет назад в Москве, на Ходынке рабочие повредили кабель спецсвязи потому, что в связи с высокой секретностью он не был указан в соответствующих документах. Это, конечно, произошло случайно, но сам факт использования метода «безопасность через сокрытие» достаточно примечателен. К сожалению, российские спецслужбы продолжают его активно эксплуатировать – второй регулятор в области кибербезопасности, ФСБ России, засекречивает почти все свои документы, делая их доступными очень ограниченному кругу лиц, имеющих соответствующие лицензию. В среде специалистов даже бытует шутка, что по тому, имеет ли разработчик средств шифрования доступ к исходным требованиям, выпискам из них или выпискам из выписок, можно понять уровень приближенности разработчика к 8-му Центру ФСБ, который и регулирует у нас в стране вопросы криптографии. Позиция регулятора схожа с мнением ФСТЭК – злоумышленник не должен знать, как устроены системы защиты против них.

Но увы, мы обычно не можем знать, что известно, а что нет злоумышленнику. При этом с течением времени уровень знаний нарушителя меняется, а система, построенная на первоначальных предположениях, нет. Вспомним историю с шифром A5/1 в GSM, считавшимся секретным, но путем реверс-инжиниринга телефонных аппаратов он был раскрыт, и в нем удалось найти большое количество уязвимостей, которые было практически невозможно устранить без существенных затрат. В итоге сегодня на рынке несложно купить оборудование, позволяющее перехватывать и расшифровывать мобильные звонки практически на лету. Схожая ситуация и с протоколом шифрования Skype, тоже считавшимся секретным до тех пор, пока группа экспертов не провела реверс-инжиниринг и не опубликовала данные о том, как происходит защита коммуникаций в Skype.

И таких ситуаций за последние годы возникало немало – невозможно рассчитывать на то, что детали той или иной системы защиты, или алгоритма, или протокола будут сохранены в секрете. Даже если такая информация относится к разряду государственных тайн и доступ к ней имеет очень ограниченное количество доверенных лиц. Но как мы знаем из предыдущей аксиомы – доверять нельзя никому. Достаточно вспомнить историю с Эдвардом Сноуденом, который раскрыл совершенно секретные материалы Агентства национальной безопасности США о глобальной слежке.

Уязвимая защита

В 1883 году известный голландский криптограф, автор книги «Военная криптография», Огюст Керкгоффс, сформулировал шесть принципов, которые должны соблюдаться при создании криптографических систем (на самом деле многие из принципов применимы к проектированию любой системы защиты). Одним из них и, пожалуй, самым известным, стал следующий: «Система не должна требовать сохранения ее в тайне и попадание ее в руки врагов не должно вызывать проблем». Этот принцип также упоминался и в известной работе Клода Шеннона «Теория связи в секретных системах», но немного в ином виде, получившим название максимы Шеннона: «противнику известна используемая система». Аналогичное требование устанавливает и американский институт стандартов NIST, который в своем недавно опубликованном руководстве NIST SP800-123 сформулировал следующее требование: «система безопасности не должна зависеть от секретности реализации или ее компонентов». Все три документа, разделенные более чем тремя столетиями, говорят об одном и том же: нельзя секретность системы защиты ставить во главу угла, полагаясь на то, что сведения о ней не утекут за пределы доверенного окружения. Тем более сложно содержать эту информацию в тайне на всем протяжении жизненного цикла системы.

В качестве примера того, что даже в критичных системах отказываются от этого принципа, следует упомянуть конкурс на разработку нового национального стандарта шифрования вместо устаревшего DES, представленного NIST в январе 1997 года. В июне 1998-го NIST получил 15 кандидатов и выложил их все в открытый доступ, включая исходные коды программ для реализации указанных криптографических алгоритмов. В августе 1999-го в шорт-листе осталось всего пять участников, среди которых в итоге выиграл алгоритм Rijdael, получивший название AES. В 2007-м схожий процесс был реализован NIST для алгоритма хэширования SHA-3, заменившего SHA-1.

Дыры в Линуксе

Программное обеспечение с открытым кодом (open source) также исключает реализацию принципа «безопасности через неизвестность» – все исходные коды доступны для анализа, что, по мнению ряда экспертов, повышает защищенность такого ПО. Существует даже закон Линуса (по имени Линуса Торвальдса, создателя ядра Linux), который гласит, что «при достаточном количестве наблюдателей ошибки выплывают на поверхность». Однако следует отметить, что этот закон действует только при наличии достаточного количества квалифицированных тестировщиков, умеющих выявлять ошибки и уязвимости. Тут можно вспомнить историю с уязвимостью Heartbleed в широко распространенной библиотеке OpenSSL. После того как Heartbleed «накрыл» сотни тысяч серверов по всему миру, оказалось, что проект OpenSSL поддерживался всего двумя людьми, работающими неполный день за несколько тысяч долларов в год, поступающих в виде добровольных взносов. И это несмотря на огромную армию линуксоидов, которые должны были углядеть уязвимость, существующую не один год. Но справедливости ради надо отметить, что данная история не имеет отношения к теме нашей статьи.

Ненадежные барьеры

Значит ли это, что принцип «безопасность через неизвестность» можно списать в утиль и забыть его как страшный сон, исключив из собственных проектов по информационной безопасности? Впрочем, в его защиту надо сказать, что он все-таки может применяться, но как второстепенная защитная мера, которая ни в коем случае не должна иметь высший приоритет. В качестве временного барьера для злоумышленников подобный принцип может быть использован. Например, неопубликование уязвимости до выхода патча позволяет скрыть от злоумышленников слабость системы и попытаться успеть устранить ее. Но и полагаться на такой барьер не стоит – злоумышленники могут знать о уязвимости или иметь информацию о других, более опасных и еще не известных разработчику уязвимостях.

Другим примером применения обсуждаемого принципа может служить метод «защиты движущимися целями», когда адрес потенциальных жертв меняется динамически и очень быстро, что не позволяет злоумышленникам узнать его и подготовиться к атаке или ее развитию. Правда, этот метод работоспособен только в одном случае: хакер не знает алгоритма выбора адресов, который должен храниться в секрете. Но это является нарушением описанных выше принципов, сформулированных Керкгоффсом и Шенноном. Именно потому такой метод не нашел отражения в широко используемых на коммерческом рынке решениях – слишком велика вероятность, что злоумышленники смогут провести их реверс-инжиниринг и узнать секретный алгоритм.

***

Что мы узнали из статьи? Что принципы, появившиеся на заре возникновения человечества и в течение долгого времени эксплуатируемые спецслужбами всех стран, перестают действовать в современных условиях, когда число лиц, имеющих доступ к технологиям и средствам защиты, становится неконтролируемым, а окружение не доверенным. И поэтому рассчитывать на скрытность как основной методы защиты чего-либо сегодня не стоит.

Журнал IT Manager

Опубликовано 03.06.2019

Об авторах

Алексей Лукацкий

Бизнес-консультант по безопасности Positive Technologies

Информационная безопасность Киберугрозы

Предыдущая
Цифровое пограничье

Следующая
ЦБ запускает проект по верификации почты

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30