Десять аксиом кибербезопасности. Аксиома третья. Принцип «безопасность через неизвестность» не работает

Логотип компании
Десять аксиом кибербезопасности. Аксиома третья. Принцип «безопасность через неизвестность» не работает
Задайтесь вопросом, если вы храните деньги дома, то где это «секретное» место?

Аксимомы кибербезопасности:

  1. Взломать можно абсолютно все.

  2. Доверять нельзя никому.

  3. Принцип «безопасность через неизвестность» не работает.

  4. Знай свои актив.

  5. Безопасность на уровне бизнес.

В настоящий момент ФСТЭК, основной регулятор в области информационной безопасности в России, не только активно вводит новые требования по безопасности, но и пересматривает ранее выпущенные, делая их более релевантными современным регламентам и современным угрозам. При этом ФСТЭК возвращается к своим истокам и ставит на свои документы метку «для служебного пользования», что существенно усложняет доступ к ним для тех, кто хотел бы знать и выполнять новые требования. Один из мотивов регулятора – желание обезопасить свои требования от потенциальных врагов, которые могут узнать, как защищаются органы государственной власти Российской Федерации и обойти предупредительные меры. 

Эта довольно спорная позиция очень хорошо отражает мнение немалого количества специалистов по безопасности, которые до сих пор считают, что принцип «безопасность через неизвестность» (security through obscurity), то есть скрытие описания системы защиты от нарушителей работает и помогает сделать систему более защищенной. И даже если в системе существуют уязвимости, то злоумышленник о них не узнает и не сможет ими воспользоваться (отчасти поэтому очень редко на сайтах российских разработчиков средств защиты можно встретить списки уязвимостей в их продукции и деталей по их устранению).

Секрет Полишинеля

В моем детстве родители часто оставляли ключ от входной двери в квартиру под ковриком. Почему-то считалось, что никто (ни воры, ни соседи) не знает этого секрета и не видит, как я иногда залезаю под коврик и достаю ключ от дома. Помните фрагмент из второго «Терминатора», где сын Сары Коннор учит Терминатора, где находится ключ зажигания у владельцев американских автомобилей (за противосолнечным козырьком)? Это два ярких примера принципа «безопасность через неизвестность», который сегодня уже не работает так, как это было много лет назад, когда его придумали и когда информационная безопасность была уделом спецслужб. Задайтесь вопросом, если вы храните деньги дома, то где это «секретное» место? Поговорив со следователями и оперативниками МВД, вы узнаете, что большинство жителей квартир используют обычно одни и те же места для хранения своих заначек – в тумбочках, в книгах, за зеркалами и картинами, в бельевом шкафу, в бачке унитаза, в банках для круп и т. п., и ворам прекрасно известны такие места. Мы думаем, будто знаем лучше воров, как надо прятать деньги, хотя это и не так.

В 1996 году на рынке появились первые DVD, которые были защищены от нелегального копирования. Доступ к спецификациям, описывающим метод защиты, был закрыт и предусмотрен только для тех производителей, кто подписывал соответствующие соглашения с компанией «Матсушита». Детали системы шифрования контента на дисках оставался секретным недолго – в октябре 1999-го Йон Йохансен, известный как DVD Jon, опубликовал на хакерском форуме программу, позволявшую обходить охранительные барьеры. Произошло это из-за низкого уровня защищенности полученных секретов у одного из производителей – компании XING Technology. Попытки остановить распространение метода дешифрования DVD привели к эффекту Барбары Стрейзанд – исходный код программы для взлома печатали на футболках и галстуках, передавали по радио и даже в виде стихотворений хокку.

Десять лет назад в Москве, на Ходынке рабочие повредили кабель спецсвязи потому, что в связи с высокой секретностью он не был указан в соответствующих документах. Это, конечно, произошло случайно, но сам факт использования метода «безопасность через сокрытие» достаточно примечателен. К сожалению, российские спецслужбы продолжают его активно эксплуатировать – второй регулятор в области кибербезопасности, ФСБ России, засекречивает почти все свои документы, делая их доступными очень ограниченному кругу лиц, имеющих соответствующие лицензию. В среде специалистов даже бытует шутка, что по тому, имеет ли разработчик средств шифрования доступ к исходным требованиям, выпискам из них или выпискам из выписок, можно понять уровень приближенности разработчика к 8-му Центру ФСБ, который и регулирует у нас в стране вопросы криптографии. Позиция регулятора схожа с мнением ФСТЭК – злоумышленник не должен знать, как устроены системы защиты против них.

Но увы, мы обычно не можем знать, что известно, а что нет злоумышленнику. При этом с течением времени уровень знаний нарушителя меняется, а система, построенная на первоначальных предположениях, нет. Вспомним историю с шифром A5/1 в GSM, считавшимся секретным, но путем реверс-инжиниринга телефонных аппаратов он был раскрыт, и в нем удалось найти большое количество уязвимостей, которые было практически невозможно устранить без существенных затрат. В итоге сегодня на рынке несложно купить оборудование, позволяющее перехватывать и расшифровывать мобильные звонки практически на лету. Схожая ситуация и с протоколом шифрования Skype, тоже считавшимся секретным до тех пор, пока группа экспертов не провела реверс-инжиниринг и не опубликовала данные о том, как происходит защита коммуникаций в Skype.

И таких ситуаций за последние годы возникало немало – невозможно рассчитывать на то, что детали той или иной системы защиты, или алгоритма, или протокола будут сохранены в секрете. Даже если такая информация относится к разряду государственных тайн и доступ к ней имеет очень ограниченное количество доверенных лиц. Но как мы знаем из предыдущей аксиомы – доверять нельзя никому. Достаточно вспомнить историю с Эдвардом Сноуденом, который раскрыл совершенно секретные материалы Агентства национальной безопасности США о глобальной слежке.

Уязвимая защита

В 1883 году известный голландский криптограф, автор книги «Военная криптография», Огюст Керкгоффс, сформулировал шесть принципов, которые должны соблюдаться при создании криптографических систем (на самом деле многие из принципов применимы к проектированию любой системы защиты). Одним из них и, пожалуй, самым известным, стал следующий: «Система не должна требовать сохранения ее в тайне и попадание ее в руки врагов не должно вызывать проблем». Этот принцип также упоминался и в известной работе Клода Шеннона «Теория связи в секретных системах», но немного в ином виде, получившим название максимы Шеннона: «противнику известна используемая система». Аналогичное требование устанавливает и американский институт стандартов NIST, который в своем недавно опубликованном руководстве NIST SP800-123 сформулировал следующее требование: «система безопасности не должна зависеть от секретности реализации или ее компонентов». Все три документа, разделенные более чем тремя столетиями, говорят об одном и том же: нельзя секретность системы защиты ставить во главу угла, полагаясь на то, что сведения о ней не утекут за пределы доверенного окружения. Тем более сложно содержать эту информацию в тайне на всем протяжении жизненного цикла системы.

В качестве примера того, что даже в критичных системах отказываются от этого принципа, следует упомянуть конкурс на разработку нового национального стандарта шифрования вместо устаревшего DES, представленного NIST в январе 1997 года. В июне 1998-го NIST получил 15 кандидатов и выложил их все в открытый доступ, включая исходные коды программ для реализации указанных криптографических алгоритмов. В августе 1999-го в шорт-листе осталось всего пять участников, среди которых в итоге выиграл алгоритм Rijdael, получивший название AES. В 2007-м схожий процесс был реализован NIST для алгоритма хэширования SHA-3, заменившего SHA-1.

Дыры в Линуксе

Программное обеспечение с открытым кодом (open source) также исключает реализацию принципа «безопасности через неизвестность» – все исходные коды доступны для анализа, что, по мнению ряда экспертов, повышает защищенность такого ПО. Существует даже закон Линуса (по имени Линуса Торвальдса, создателя ядра Linux), который гласит, что «при достаточном количестве наблюдателей ошибки выплывают на поверхность». Однако следует отметить, что этот закон действует только при наличии достаточного количества квалифицированных тестировщиков, умеющих выявлять ошибки и уязвимости. Тут можно вспомнить историю с уязвимостью Heartbleed в широко распространенной библиотеке OpenSSL. После того как Heartbleed «накрыл» сотни тысяч серверов по всему миру, оказалось, что проект OpenSSL поддерживался всего двумя людьми, работающими неполный день за несколько тысяч долларов в год, поступающих в виде добровольных взносов. И это несмотря на огромную армию линуксоидов, которые должны были углядеть уязвимость, существующую не один год. Но справедливости ради надо отметить, что данная история не имеет отношения к теме нашей статьи.

Ненадежные барьеры

Значит ли это, что принцип «безопасность через неизвестность» можно списать в утиль и забыть его как страшный сон, исключив из собственных проектов по информационной безопасности? Впрочем, в его защиту надо сказать, что он все-таки может применяться, но как второстепенная защитная мера, которая ни в коем случае не должна иметь высший приоритет. В качестве временного барьера для злоумышленников подобный принцип может быть использован. Например, неопубликование уязвимости до выхода патча позволяет скрыть от злоумышленников слабость системы и попытаться успеть устранить ее. Но и полагаться на такой барьер не стоит – злоумышленники могут знать о уязвимости или иметь информацию о других, более опасных и еще не известных разработчику уязвимостях.

Другим примером применения обсуждаемого принципа может служить метод «защиты движущимися целями», когда адрес потенциальных жертв меняется динамически и очень быстро, что не позволяет злоумышленникам узнать его и подготовиться к атаке или ее развитию. Правда, этот метод работоспособен только в одном случае: хакер не знает алгоритма выбора адресов, который должен храниться в секрете. Но это является нарушением описанных выше принципов, сформулированных Керкгоффсом и Шенноном. Именно потому такой метод не нашел отражения в широко используемых на коммерческом рынке решениях – слишком велика вероятность, что злоумышленники смогут провести их реверс-инжиниринг и узнать секретный алгоритм.

***

Что мы узнали из статьи? Что принципы, появившиеся на заре возникновения человечества и в течение долгого времени эксплуатируемые спецслужбами всех стран, перестают действовать в современных условиях, когда число лиц, имеющих доступ к технологиям и средствам защиты, становится неконтролируемым, а окружение не доверенным. И поэтому рассчитывать на скрытность как основной методы защиты чего-либо сегодня не стоит.

 

 

Читайте также
IT-World разбирался, как машинное обучение трансформирует клиентский опыт, в чем специфика работы ИИ-ассистентов в банковской сфере, и влияет ли внедрение технологий  на рост удовлетворенности и лояльности клиентов.

Опубликовано 03.06.2019

Похожие статьи