ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ГЕОДЕЗИИ И
КАРТОГРАФИИ»
Кафедра
«Информационно-измерительных систем»
Специальность 10.03.01 Информационная безопасность
Специализация «Информационная безопасность сетей»
Курс
4 Группа
1б
Форма обучения
очная
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Линьков Валерий Владимирович
(Фамилия, имя, отчество обучающегося)
на тему: Безопасность новейших систем сетевого интегрирования на базе
предприятия
Научный руководитель
Кондауров Игорь Николаевич, к.т.н., доцент
(Фамилия, имя, отчество, ученая степень, должность)
Работа допущена к защите
Заведующий кафедрой______________
(подпись)
____________________________________
(Ф.И.О)
«____» ______________ 2021 г.
РЕФЕРАТ
Работа 129 с., 6 ч., 60 рис., 3 табл., 30 источников
БЕЗОПАСНОСТЬ НОВЕЙШИХ СИСТЕМ СЕТЕВОГО
ИНТЕГРИРОВАНИЯ НА БАЗЕ ПРЕДПРИЯТИЯ
Работа посвящена изучению сетей различных организаций, а также
изучение взаимное разных групп населения с сетями общего пользования и
выявление паттернов поведения.
Целью
дипломной
работы
является
изучение
сетей
различных
организации и выработка советов по достижению наилучшей безопасности
исходя из проведённого анализа.
Практическая значимость выпускной квалификационной (дипломной)
работы состоит в возможности непосредственного использования результатов
работы в деятельности предприятий и организаций сферы информационной
безопасности.
1
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
5
1. Защита со стороны граждан Российской Федерации.
8
1.1 Анализ социальных угроз в цифровом пространстве для ребёнка.
8
1.2 Обзор социальных уязвимостей для учеников школ.
9
1.3 Социальная инженерия.
10
1.4 Даркнет.
11
1.5 Сеть.
12
1.6 Мониторинг цифрового портрета.
13
1.7 Цифровые угрозы. Формирование цифрового портрета личности.
19
1.8 Цифровые угрозы. Невозможность контролировать контакты ребенка.
19
1.9 Цифровые угрозы. Игры.
20
1.10 Цифровые угрозы. Защита ребёнка в информационном поле.
20
1.11 Заключение темы.
21
2. Защита со стороны государства.
22
2.1 Технический аспект обеспечения национальной безопасности в рамках
политики разных государств.
22
2.2 История Интернета. Человек, создавший чудо.
23
2.3 Наши дни. Мировая паутина.
24
2.4 Основные сведения о структуре технического аспекта национальной
безопасности.
26
2.5 Северная Корея.
28
2.6 Мьянма.
29
2.7 Иран.
30
2.8 Украина.
31
2.9 Страны Евросоюза.
32
2.10 Китай.
32
2.11 Как устроена блокировка в Китае и как её реализуют в России.
33
2
2.12 Как Россия работает над техническим аспектом национальной
безопасности.
35
2.13 Итоги работы России над проектом технической национальной
безопасности.
36
2.14 Заключение темы.
37
3. Защита интранета компании.
39
3.1 Предотвращение утечек конфиденциальной информации из
информационной системы вовне.
39
3.2 Что такое DLP.
40
3.3 История одной компании или как сделать цифровую пиццу.
40
3.4 Карта бизнеса.
43
3.5 Структура работы DLP.
45
3.6 Лингвистический анализ.
46
3.7 Статистический анализ.
48
3.8 Какую технологию использовать.
50
3.9 Закон и DLP.
50
3.10 Разработанные системы быстрого запуска.
52
3.11 Заключение темы.
54
4. Апокалипсис систем безопасности.
55
4.1 Начало конца.
55
4.2 Введение в квантовую механику.
55
4.3 Эффект наблюдателя.
57
4.4 Детерминистическая теория и многомировая теория Эверетта.
60
4.5 Введение в квантовые компьютеры.
61
4.6 Как квантовые вычисления могут взломать существующие криптокоды. 65
4.7 Апокалипсис и ручка.
65
5. Целесообразность защиты.
67
5.1 Эксплуатация темы коронавируса в угрозах ИБ.
67
5.2 Как отреагировали мошенники Рунета на коронавирус.
71
5.3 17 способов проникновения во внутреннюю сеть компании.
3
74
6. Создание примера безопасной сети.
103
6.1 Сценарий.
103
6.2 Таблица адресации.
105
6.3 Задачи.
105
6.4 Пошаговая настройка (планирование).
106
6.5 Пошаговые скрипты.
112
6.6 Точки входа в сеть.
118
6.7 Статистический анализ.
121
ЗАКЛЮЧЕНИЕ
125
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
127
4
ВВЕДЕНИЕ
В наше время IT-инфраструктуры стали плотно входить во все сферы
жизнедеятельности человека. Человек двадцать первого века не вообразим без
индивидуального гаджета и непосредственной работы с ним. Школьники,
которые раньше не могли даже понять как работает компьютер, сейчас
обладает таким количество гаджетов, которым не обладал работник крупной
IT-компании в 80-ых. Любой житель России имеет гораздо более удобную и
технологичную
карту,
нежели
раньше.
Государство
работает
над
безопасностью IT-инфраструктур не меньше, чем над своим внутренним
вооружением. Компании стали появляться и исчезать в считанные секунды,
при помощи IT-инфраструктур. Одним из ярчайших примеров необходимости
технологий связи – всемирный карантин в связи с пандемией короновирусной
инфекции. Именно в этот момент многие люди поняли, что прогресс не
остановить и все они являются часть большой системы под названием
«Информационные технологии».
Прогресс неостановим. Но, как известно из истории, вместе с новыми
решениями приходят новые проблемы. Вопрос кибербезопасности встал как
никогда остро. В 2020 годы была зарегистрирована первая официальная
смерть от атаки хакера. Событие получило название «Кибер-убийство». 10
сентября 2020 года, Университетская клиника в Дюссельдорфе подверглась
вымогательской атаке, поразившей ее сеть и более 30 внутренних серверов.
Как сообщает «Associated Press», из-за произошедшего в больнице не смогли
принять женщину, нуждающуюся в срочной медицинской помощи, и ее
переадресовали в другую клинику, находящуюся примерно в 30 километрах
оттуда. В итоге пациентка скончалась, а этот инцидент запомнился всем
защитникам информации и информационных систем.
Целью дипломной работы является изучение всех тенденций в
кибербезопасности в сетевых инфраструктурах. Все данные собирались в
5
течении последних пяти лет компанией «Cisco Systems» (в период с 2016 по
2020 годы).
Задачи:
−
Провести обзор защиты информации со стороны граждан
Российской Федерации;
−
Дать рекомендации по созданию максимально безопасных условий
работы;
−
Провести обзор защиты информации со стороны Российской
Федерации;
−
Провести обзор защиты информации со стороны бизнеса и
компаний разных масштабов;
−
Дать рекомендации по созданию максимально безопасных условий
работы персонала и внутренней системы;
−
Провести анализ скорости роста технологий и предположить
дальнейшее
развитие
информационной
безопасности
в
сетевых
инфраструктурах;
−
Провести анализ целесообразности тотальной защиты сетевой
инфраструктуры;
Объектами исследования являются сетевые инфраструктуры различных
компаний, а также анализ атак, проведённых в последние годы.
Предметом
исследования
является
деятельность
специалистов
информационной безопасности в данных компаниях.
Данная работа состоит из введения, пяти глав, заключения, списка
использованных источников.
В первой главе проведен обзор защиты информации для населения, а
также даны рекомендации по улучшению системы безопасности;
Во второй главе представлена информация о деятельности компании
«Роскомнадзор» и сравнительный анализ фильтрации трафика в различных
странах;
6
В третьей главе разобраны основные принципы построения сетей
организации и даны рекомендации по паттернам поведения хакеров,
атакующих данные компании;
В четвертой главе представлен анализ детерминистического принципа
работы ЭВМ и сделано предположение по дальнейшему развитию сетевой
инфраструктуры;
В пятой главе представлены основные цели и задачи защиты сетей, а
также проведён анализ целесообразности в использовании тех или иных
технологий защиты сетей.
В шестой главе создана безопасная сеть по постулатам Cisco о создании
безопасных сетевых интеграций на базе предприятия с неограниченным
количеством ресурсов для создания сети.
7
1. Защита со стороны граждан Российской Федерации.
1.1 Анализ социальных угроз в цифровом пространстве для ребёнка.
Во время глобальной компьютеризации, глобализации, а также
активного внедрения цифровой экономики во все аспекты жизни населения
развитых стран, как никогда остро встаёт вопрос безопасности личных данных
пользователей. По данным Reuters, на данный момент примерно 7 %
населения Земли обладают доступом к персональному компьютеру или
«умным» устройствам, позволяющим обычному человеку стать из простого
жителя Земли единицей цифровой экономической системы в рамках
глобально проекта Всеобъемлющего Интернета (он же Интернет Вещей (IoT –
Internet of Things)). Всероссийский центр изучения общественного мнения
(ВЦИОМ) 17.09.2018 провел опрос, о том «Пользуетесь ли Вы интернетом, и
если да, то как часто?». Результаты опроса таковы: доля интернетпользователей в России – 81 % граждан. В том числе 65 % выходят в сеть
ежедневно. Это влечёт за собой огромную пользу, но и ответственность для
человека за каждое действие в мировой паутине.
С повышением доступности высоких технологий в развитых странах
возросло количество малограмотных пользователей сети, которые не имеют
представления о работе сетей и компьютеров в целом. Конечно, как
пользователям им не обязательно знать все тонкости работы компьютеров, но
обладать минимальной грамотностью в этой сфере стоит всем. Согласно
исследованию, проведенному в 33 развитых странах, только 5 % населения
обладает высокими компьютерными знаниями, и только треть людей может
выполнить задания средней сложности.
Масштабное профессиональное исследование вопросов, связанных с
использованием Интернет-ресурсов детьми, было проведено компанией
RUметрика. Главными критериями анализа полученных данных, положенных
в основу выводов, стали статистические показатели, виды доступа в Интернет
(самостоятельно или под надзором родителей), а также анализ доступного
8
материала, содержащего запрещенные элементы. По окончании исследования
были сделаны некоторые выводы, в частности:
Статистика указывает на почти девятимиллионную детскую аудиторию
Интернета, причем учтены только дети младше 14 лет. Из них, три четверти
пользуются Интернет-ресурсами без контроля со стороны родителей. Среди
всей детской аудитории есть пользователи младше пяти лет, причем около 90
% из них просматривают сайты под присмотром старших, либо совместно с
родителями.
Около
40
%
детей
посещают
сайты,
где
размещены
порнографические материалы. Примерно 20 % детей видели в Интернете
видео, содержащее сцены насилия, а также другие нежелательные материалы.
Только половина детей не встречали в сети ссылок или ресурсов, содержание
которых не предназначено для просмотра детьми.
С приходом высоких технологий в жизнь людей появились новые
возможности, но и новые угрозы, к которым человечеству только предстоит
приспособиться. Самыми беззащитными пользователями всегда были, есть и
будут
дети.
Для
того,
чтобы
помочь
родителям
и
педагогам,
не
разбирающимся в вопросе кибербезопасности, понять способ самозащиты в
информационной среде, были описаны основные уязвимости и способы
защиты от них.
***
1.2 Обзор социальных уязвимостей для учеников школ.
Обзоры и прогнозы развития рынка электронной коммерции по разным
источникам
несколько
отличаются,
тем
не
менее,
общая
картина
демонстрирует активное развитие электронной коммерции и особенно ее
иностранного сектора.
Во время глобальной визуализации, появляется новое поколение детейвизуалов. Это дети, которые могут воспринимать любую информацию, но
усваивают из неё только визуальную, то есть графическую. Это не хорошо и
9
не плохо. Это значит, что появляется новый кластер населения, с которым
необходимо научиться работать.
Грамотные
инженеры
маркетологи,
умеют
работать
графические
с
этим
дизайнеры
кластером.
и
визуальные
Самый
большой
информационный канал – это «умные» устройства, благодаря которым мы
перешли в эпоху глобальной визуализации. То есть два основных устройства,
которыми пользуются дети и из-за которых они уязвимы – это мобильные
устройства и персональные компьютеры.
Главная цель злоумышленника – получить доступ к какой-либо
персональной информации в своих целях. Для достижения данной цели не
обязательно быть профессионалом в области IT. Достаточно хорошо
разбираться в психологии потенциальной жертвы. Одними из лучших
психологов являются специалисты социальной инженерии.
***
1.3 Социальная инженерия.
Одно из определений понятия «человек» – ячейка социума. Наука
«Социальная инженерия» изучает способы воздействия на человека путём
невербального
контакта.
необходимого
доступа
Социальная
к
инженерия
информации,
–
основанный
метод
на
получения
особенностях
психологии людей. Основной целью социальной инженерии является
получение доступа к конфиденциальной информации, паролям, банковским
данным и другим защищенным системам.
Большинство профессиональных мошенников обладают навыками
социальной инженерии. Самый простой объект их «охоты» – ребёнок, ведь к
нему так просто войти в доверие.
Ключевой задачей является необходимость объяснить тот факт, что все
пользователи Интернета – реальные люди и относиться к ним нужно как к
обычным людям, но сеть – анонимное пространство. Всегда.
10
***
1.4 Даркнет.
Для кого-то это зашифрованный мир скрытых сервисов Tor, в котором
нельзя вычислить пользователей. Для кого-то – это те сайты, которые не
индексируются обычными поисковыми системами: таинственные дебри
запароленных веб-ресурсов, не связанных друг с другом страниц и скрытого
контента, доступного только своим. Для кого-то это просто общее понятие,
под которым подразумевается вся та бездна шокирующих, пугающих и
провокационных уголков Интернета, где обитают воображаемые преступники
и злодеи всех мастей и калибров.
Это все, в той или иной степени, и есть Даркнет. Гораздо важнее суть
этого явления. Это не просто подполье, изолированное от привычного нам
Интернета, и при этом все же являющееся его частью, царство полной
свободы и анонимности, где пользователи говорят и думают то, что им
нравится, без цензуры, без правил, без общественных рамок. Эта реальность,
столь же шокирующая и пугающая, сколь и прогрессивная и творческая, и она
гораздо ближе к нам, чем вы думаете.
Даркнет редко сходит с новостных заголовков – молодые люди
выкладывают любительскую порнографию, кибербуллеры (люди насмешками
и угрозами пугающие или унижающие человека) и тролли досаждают
незнакомым людям, политические экстремисты занимаются пропагандой,
контрабанда, наркотики и секретные документы можно купить в один-два
клика, – все эти рассказы каждый день мелькают на первых полосах. Но как
ни странно, этот мир практически не изведан и непонятен большинству из нас.
Немногие решались погрузиться в глубины Интернета и хоть одним глазком
поглядеть на эти сайты.
Эта неизвестность сильно привлекает подростков, но из-за чересчур
открытого информационного пространства и весьма простого доступа к
11
любым данным, всё найденное в даркнете становится свободно от норм и
правил. Это большая опасность даже для взрослого человека, а для подростка
данная доступность может быть критической. Подростковая психика может их
не выдержать порцию очередного контента, может быть потеряна связь с
реальностью и подросток может стать оружием в руках профессиональных
вербовщиков даркнета, сам того не подозревая.
***
1.5 Сеть.
Сеть в том виде, в каком мы ее знаем, появилась в конце 1960-х годов, и
была тогда небольшим научным проектом Агентства Министерства обороны
США по перспективным научно-исследовательским разработкам (ARPA).
Пентагон надеялся создать “Arpanet” – компьютерную сеть, с помощью
которой американские ученые могли бы обмениваться пакетами данных и
пользоваться общей компьютерной памятью. В 1969 году впервые было
установлено сетевое соединение между двумя компьютерами в Калифорнии.
Эта сеть потихоньку разрасталась.
В
июле
информатики
1973
в
года
Питер
Кирштайн,
молодой
Университетском
колледже
Лондона,
преподаватель
находясь
в
Великобритании, подключился к сети Arpanet с помощью телефонных
кабелей, проложенных через Атлантический океан. Так он стал первым
британцем, вышедшим в онлайн. Кирштайн сказал: «Я даже не представлял
себе, к чему это приведет! Никто не представлял. Мы, ученые и
исследователи, стремились создать систему быстрого и простого обмена
данными». Сеть Arpanet, как и ее преемница, сеть Интернет, была построена
на принципах, позволявших всем этим ученым эффективно сотрудничать друг
с другом: она была открытой, децентрализованной, доступной и в ней не было
цензуры. Именно эти принципы и легли в основу Интернета – безграничного
мира людей, информации и идей.
12
В 1978 году появились электронные доски объявлений BBS, а в 19791980 – сеть Usenet, что продвинуло онлайновую реальность на новый уровень.
В отличие от узконаправленной сети Arpanet, пионеры в области тематических
чатов и форумов Usenet и BBS были доступны всем, у кого дома был модем и
компьютер. Пусть, по сегодняшним меркам, небольшие, медленные и
примитивные, они привлекали тысячи людей в новый, виртуальный мир. В
середине девяностых, когда появилась Всемирная паутина (WWW, World
Wide Web) Тима Бернерса-Ли, Интернет абсолютно преобразился: из
экспериментальной площадки для компьютерщиков и ученых он превратился
в популярное времяпрепровождение обывателей, но по сей день сеть таит в
себе много опасностей.
В те далёкие годы человечество не могло представить до чего сможет
развиться Всемирная паутина. Существовало множество идей. Часть из них
смогли реализовать, часть – нет, но на тот момент они казались
фантастическими. Никто не мог предположить, что в цифровом пространстве
люди смогут не только работать, общаться, выполнять и получать какие-либо
услуги, но и смогут жить в цифровом пространстве. Однако это произошло. В
связи
с
геометрическим
ростом
пользователей,
их
потребностей
и
возможностей в цифровом пространстве появилась наука о так называемом
«Цифровом портрете человека».
***
1.6 Мониторинг цифрового портрета.
На сегодняшний день уже сформировалось такое понятие, как цифровой
портрет. Данное понятие применимо и к юридическим, и к физическим лицам
и отражает их деятельность в сети Internet. Исходя из этого можно заключить,
что цифровой портрет содержит информацию, в том числе носящую
репутационный
характер
(например:
отзывы
клиентов,
заключения
проверяющих органов, сведения о профессиональной деятельности). К концу
13
декабря 2023 года информация о гражданах будет собрана в единую базу
данных, для обеспечения обмена ей между государством, гражданами,
организациями (в том числе коммерческими).
Появление Internet кардинально изменило нашу жизнь, и практически не
осталось тех сфер, которые не затронули изменения, связанные с созданием
всемирной паутины. Также и цифровой портрет играет важную роль в жизни
человека. Корректно представленная информация дает преимущества и
расширяет возможности. Благодаря грамотно созданному профилю в интернет
пространстве можно достигнуть успеха в профессиональной деятельности,
многие люди привлекают новых клиентов, партнеров, работодателей.
Internet предоставляет много возможностей, но также создает новые
вызовы
в
сфере
информационной
доступности,
целостности
пользователи
используют
и
безопасности
конфиденциальности
социальные
сети
для
(реализация
данных).
передачи
угроз
Многие
различной
информации, в том числе информацию, представляющую врачебную тайну,
конфиденциальную информацию о счетах, вкладах и операциях клиентов,
информацию о самих клиентах и их близких, пароли и т. п. И она может быть
использована по-разному. Конечно же, это зависит от целей, намерений тех,
кто получил к ней доступ. Во всемирной паутине есть особые категории
пользователей, которые используют эту информацию для совершения
мошеннических действий.
Чем больше данных о субъекте в сети, тем четче его цифровой портрет.
Стоит ограничить в интернет пространстве количество персональных данных
о себе, чтобы не стать потенциальной жертвой злоумышленника, который
проводит мониторинг цифрового портрета. Возможностью для атаки могут
послужить фотографии дорогих приобретений, видео с близкими людьми,
паспортные данные, адрес места жительства или регистрации, семейное
положение, образование, профессия, место работы, сведения о доходах, номер
мобильного
телефона
и
т.п.
Получив
14
доступ
к
этой
информации,
злоумышленник может использовать ее не только против вас, но и против
ваших близких.
Стоит отметить факт того, что информация, попавшая в интернет,
остается там навсегда. «Потому что копии информации делаются на
множество серверов. История ваших действий – также пишется и
протоколируется.»
Если человек оставляет информацию о себе в сети Internet, то найти ее
не является сложной задачей, для этого даже есть специальные программные
сервисы:
1. Компания Яндекс предоставляет сервис для поиска страницы сразу по
всем социальным сетям. Также сервис предусматривает возможность искать
не только по имени и фамилии, но и по никнейму (yandex.ru/people) (рисунок
1.6.1):
Рисунок 1.6.1 - Яндекс.Люди
2. Сервис Social Searcher позволяет найти последние записи человека
сразу по всем соцсетям, но имеет свои ограничения, так как не работает с
российскими социальными сетями.
3. Сервис Social Mention позволяет узнать информацию, которую
говорят о человеке сразу во всех социальных сетях, а также здесь можно
посмотреть ТОП хештегов, которые ее обычно сопровождают и ТОП
пользователей, которые упоминают ее чаще всего.
15
4. На сервисе Yomapic можно посмотреть последние снимки, сделанные
в определенном месте. Задавая область поиска, можно узнать, какие фото
сделаны рядом с человеком (рисунок 1.6.2).
Рисунок 1.6.2 – Yomapic
5. В базе ФСПП можно выяснить, нет ли у человека непогашенных
долгов. Для получения информации нужно знать только его ФИО и дату
рождения (рисунок 1.6.3).
Рисунок 1.6.3 - База ФСПП
16
6. Google имеет возможность определять человека по фотографии, то
есть необходимо вырезать или сфотографировать так, чтобы было видно лицо,
и загрузить эту фотографию на страницу поиска картинок Google.
И это далеко не все возможности поиска сведений о человеке в сети
Internet, но и их достаточно, чтобы сформировать то или иное представление о
нем, сфере его интересов, образе жизни и т.д., на базе которых социальный
инженер может разрабатывать модель атаки.
Есть сервисы, которые автоматически собирают информацию о своих
пользователях. Чаще всего это делается в маркетинговых целях, для
размещения таргетированной рекламы, рекламных звонков, чтобы каждому
человеку предлагались те товары и услуги, которые ему могут быть
интересны. Например, Google со всех своих сервисов накапливает
статистические данные, а именно истории запросов в поисковом сервисе,
список посещенных через интернет-браузер Chrome сайтов, просматриваемые
на YouTube ролики, письма в Gmail, сведения о используемых приложениях,
перемещениях по данным GPS и беспроводных сетей и т.д.
На сегодняшний день, разместить информацию о себе не представляет
никакой сложности, это можно сделать с компьютера, смартфона и других
гаджетов, которые появляются у детей с раннего возраста. И они не всегда
понимают, что можно, а что нельзя выкладывать в сеть и какие это несет
последствия, что является проблемой. То, что происходит в сети, комментарии
в адрес ребенка, подростка, как или иначе оказывают сильное социальное
влияние. В этом возрасте формируется сознание, мировоззрение,
нравственные сферы личности взрослого человека. В превалирующей степени
это зависит от социальных составляющих, однако, не только от ближайшего
окружения, но и глобального социально-культурного влияния.
Сейчас Интернет сервисы – это основной поставщик информации,
способ досуга.
Важно понимать риски интернет-пространства, продолжительное
пользование интернетом несет вред, как для физического здоровья, так и
17
психическому сознанию человека, особенно ребенка. Это обусловлено
контентом, который не предназначен для той или иной категории
пользователей. Изучение социальных рисков интернет-пространства особенно
актуально и значимо в наши дни. Internet становится доступен всем,
расширяет свое влияние в различных сферах, увеличивается количество
пользователей, в том числе детей и подростков, которые являются активными
потребителями различного контента. В силу их массовости это несет много
рисков, которые некоторые пользователи не осознают.
Вот несколько серьезных рисков злоупотребления пользования
интернетом:
● риск быть вовлеченным в секты, терроризм;
● доступ к материалам, повышающим риск подросткового суицида;
● искажение нравственных ценностей на основе увиденного контента;
● также вред физическому здоровью.
Актуализирует проблему и то, что на сегодняшний день интернетом
можно пользоваться не только через стационарный компьютер, но и через
различные гаджеты, которые всегда с собой, например, смартфоны.
Социальные сети это еще один аспект всемирной паутины, в которых
присутствует риски, связанные с общением, начиная от рекламы платных
подписок, до общения с посторонними, которые чаще всего присылают
контент порнографического содержания или пропагандируют материалы,
повышающие риск подросткового суицида.
Спецслужбы Российской Федерации осуществляют контроль контента в
сети Internet в пределах определенной зоны. Но существуют программные
сервисы, позволяющие выйти за ее границы, к таким сервисам относится,
например, VPN. Дети уже разбираются в трендах лучше многих родителей, и
они могут использовать их. В качестве примера можно привести онлайн-игры,
где играют и общаются люди всех возрастов, со многих стран по всему миру.
Отследить, о чем и с кем ребенок разговаривает, становится невыполнимой
задачей. Родители зачастую не имеют навыков для обеспечения контроля в
18
сети. Нужен сервис, созданный на базе сервисов, позволяющих просматривать
информацию о человеке, который будет корректировать развитие ребенка во
всемирной паутине, но также необходимо закрыть такую возможность для
остальных.
Нужно помнить, «лучший способ защиты детей – правильное
воспитание».
Важно разъяснить среди всех пользователей Internet проблему
безопасности в сети, это не то с чем можно быстро и легко справиться, и
начинать нужно уже с раннего возраста. Проводить курсы, семинары,
конференции, на которых будет рассказываться о видах киберугроз, методах
предотвращения их, о правилах поведения во всемирной паутине.
***
1.7 Цифровые угрозы. Формирование цифрового портрета личности.
Когда ребёнок погружается в общение в цифровом пространстве, но не
задумывается о том, кто сидит по ту сторону экрана. При общении он
использует ассоциативное мышление, что может быть крайне опасно.
Существует
множество
случаев,
в
которых
дети
подвергаются
социальному насилию. Грамотный социальный инженер может за небольшой
промежуток времени довести ребёнка до неуравновешенного состояния, после
которого может произойти что-либо (от суицидов и преступлений до
вымогательства, социальной изоляции как в виртуальной, так и в реальной
среде).
***
1.8 Цифровые угрозы. Невозможность контролировать контакты
ребенка.
19
Если родители не следят за кругом общения ребёнка, он может не
только попасть под плохое влияние, но и быть ввязан в политические
дискуссии, быть пропагандирован на различных форумах и т.п. В этом и
заключается сложность регулирования круга общения ребенка. Если в
реальной жизни мы можем запретить разговаривать с незнакомцами, то в
виртуальной
среде
взрослый
человек
достаточно
легко
может
замаскироваться.
***
1.9 Цифровые угрозы. Игры.
Отдельной проблемой для родителей являются компьютерные игры. Вопервых, родителям приходится очень тщательно выбирать игры своим детям,
чтобы они не увидели, услышали или поняли что им не следует. Во-вторых,
существуют бесплатные или с небольшим возрастным ограничением онлайн
игры. Ключевая опасность в этих играх именно в социальной её части. В эти
игры играют разные люди, в том числе и злоумышленники, и каждый из них
может напрямую поговорить с ребёнком.
***
1.10 Цифровые угрозы. Защита ребёнка в информационном поле.
Детские психологи выделяют главный метод защиты ребёнка от
социальных угроз – общение с ребёнком. Общаться с ребёнком нужно всё
время. Необходимо стать не только его родителем, но и его старшим другом,
который сможет как объяснить ребёнку что ему делать, так и понять его
психологию и, следовательно, его слабости. Только родитель сможет оградить
ребёнка от опасности как цифровой, так и опасности в реальной жизни.
Главное – помнить, что ребёнку гораздо сложнее, чем взрослому понять
20
другого человека. Ребёнок в раннем возрасте мыслит, преимущественно,
инстинктивно.
***
1.11 Заключение темы.
Закончить данный раздел я хотел бы слоганом отдела безопасности
компании Cisco: «Что если бы защитники могли заглянуть в будущее? Если
бы они знали, что атака на подходе, они могли бы остановить ее или как
минимум ослабить ее последствия и обеспечить надежную защиту того, что
для них наиболее важно. На самом деле защитники могут видеть, что там
происходит на горизонте. Это можно понять по многим признакам, в том
числе и очевидным».
***
21
2. Защита со стороны государства.
2.1 Технический аспект обеспечения национальной безопасности в
рамках политики разных государств.
Для того, чтобы разобраться с вопросом технического аспекта
национальной безопасности, требуется детально разобраться во всех аспектах
работы Интернета от его создания, до его блокировки. Данный раздел работы
несёт в себе исключительно информативный характер и не даёт конкретного
ответа на вопрос «В какой стране национальная безопасность организована
лучше / хуже?». Каждый должен решить этот вопрос сам для себя. Задача
данной части – помочь разобраться рядовому пользователю в технических
принципах национальной безопасности.
Сейчас Интернетом пользуются все – мужчины и женщины, богачи и
бедные, люди всех национальностей, дети. Главной задачей Интернета
остаётся одна глобальная цель – связь людей по всему миру. Однако
существует некая угроза, от которой государства пытаются защитить граждан
путём блокирования (полного или частичного) доступа в Интернет. Это
непростая задача, и в каждой стране к этому относятся по-разному из-за
традиций, национального отношения к свободе слова и каких-либо
предрассудков. Совсем недавно (11 апреля 2019 года) в Российской
Федерации во втором чтении был принят законопроект об изоляции
российского сегмента Интернета. Чем это грозит и как этот факт отразится на
жизни граждан – неизвестно, но помочь пользователям понять что к чему –
главная задача аналитиков в IT сегменте. К сожалению, сейчас мало кто
затрагивал эту тему в таком ключе. Большая часть статей в Интернете несёт в
себе экстремистский характер и даже не понимающие в чём дело люди
начинают выступать союзниками этого движения.
Для наилучшего понимания вопроса, необходимо описать историю
создания Интернета и принципы работы технического аспекта национальной
22
безопасности разных странах мира для создания минимального понятийного
базиса знаний в этой области.
***
2.2 История Интернета. Человек, создавший чудо.
История Интернета началась задолго до его создания. Первые
предпосылки цифрового взаимодействия пользователей и машин были ещё в
40-е годы. В 1941 году немецким инженером Конрадом Цузе была разработана
первая
полнофункциональная
программно
управляемая
и
свободно
программируемая вычислительная машина – Z3 (рисунок 2.2.1). В те времена
люди не могли предположить, как жизнь сложится дальше и до чего смогут
дойти технологии.
Рисунок 2.2.1 – Z3.
23
Технологии развивались стремительно по всему миру, но особенно
активно процесс шёл в Америке. Американцы разработали такие вещи, как:
первый персональный компьютер (Apple – Возник и Джобс), протокол
организации локальных сетей (Ethernet – Роберт Меткалф), протокол передачи
данных по миру (TCP/IP – Винтон Грей Серф), электронную почту (E-mail –
Рэй Томлинсон).
Несмотря на то, что в Америке в это время был «технологический
скачок», технологию работы сети Интернет разработал англичанин Тим
Бернерс-Ли. Технология была проста и потрясающа одновременно. Он
разработал протокол передачи гипертекста (HTTP – HyperText Transfer
Protocol) и язык написания гипертекстовых документов (HTML – HyperText
Markup Language).
Основной идеей создания Интернета, как признаётся сам Тим БернерсЛи, была идея децентрализованной сети. Это означает, что в Интернете не
существует правил, ограничений, конгломератов. Есть только пользователи и
их желания получить информацию. К сожалению, добиться этого не
получилось. Далее мы вернёмся к этому вопросу и будет понятен вопрос о
том, что же помешало технологии стать общедоступным прорывным местом
общения.
Разработка не могла пройти незамеченной. Американцы моментально
среагировали на прорывную технологию и стали создавать множество
смежных технологий, программ и даже компаний. Появился первый браузер
(программа для работы в Интернете), стали писать множество сайтов на
HTML, открылась компания Google. Все эти технологии стали работать как
одно целое творение с множеством вариантов использования.
***
2.3 Наши дни. Мировая паутина.
24
Сейчас, в эпоху глобальной цифровизации, невозможно представить
человека без персонального компьютера, сотового телефона, умных гаджетов.
Технологии стали крайне сильно интегрированы в нашу жизнь. Помимо
примитивных желаний обычного человека, как зайти на страницу в
социальной сети или написать другу сообщения в мессенджере, существуют
глобальные решения – облачные вычисления, гибридные носители данных,
адресация по ID и т.д. При отключении Интернета в стране, где он уже
работает, будет катастрофическая остановка во всех аспектах жизни. Своего
рода, судный день без правил и ограничений. Анархия.
В мировой паутине на данный момент есть множество ограничений и
сам её создатель не доволен своим творением и называет Интернет болезнью
общества. Почему же это произошло? Что заставило человечество ограничить
самих себя?
Как это не прискорбно, но всегда в любой технологии есть свои
ограничения. Также, как и везде, в Интернете они тоже есть. Главное
ограничение – количество белых IP-адресов. Эти адреса работают также, как
и наши почтовые, однако есть существенная разница. Из-за вычислительных
ограничений количество белых адресов в сети равно 4 294 967 296. В
действительности это число ещё меньше (часть из адресов имеет другое
назначение). По данным Бюро переписи в США, 1 января 2018 года
численность населения Земли достигла 7 444 443 881 человек. Проведя
нехитрые подсчёты, понятно, что на всех людей (даже если предположить, что
у каждого только одно цифровое устройство) не хватит IP-адресов. Отдельно
можно затронуть тему «Умного дома» и «Умного города» и использовании IPадресов в этой сфере.
Несмотря на эти сложности, сейчас каждый житель Земли (при наличии
денег и гаджетов) может подключиться к сети. Для того, чтобы это было
возможно, требуется жёсткий контроль использования адресов. Именно
этого контроля и избегал Тим Берненс-Ли в своём творении, но, как известно,
25
история не имеет сослагательного наклонения. Остаётся один вопрос – «Кто
управляет этими адресами?». Разберём это на примере.
Допустим, Вы молодой сетевой инженер и хотите дать доступ к своему
серверу
всем
пользователям
Интернета.
Для
этого
Вам
нужно
получить публичный IP адрес. Чтобы его получить, Вы обращаетесь к своему
интернет провайдеру, и он выдаёт Вам публичный IP адрес, но из рукава он
его взять не может, поэтому он обращается к локальному Интернет
регистратору (LIR – Local Internet Registry), который выдаёт пачку IP адресов
Вашему провайдеру, а провайдер из этой пачки выдаёт Вам один адрес.
Локальный Интернет регистратор не может выдать пачку адресов из неоткуда,
поэтому он обращается к региональному Интернет регистратору (RIR –
Regional Internet Registry). В свою очередь региональный Интернет
регистратор
обращается
организации IANA (Internet
к
международной
Assigned
Numbers
некоммерческой
Authority).
Контролирует
действие организации IANA компания ICANN (Internet Corporation for
Assigned Names and Numbers). Такой сложный процесс необходим для того,
чтобы не было путаницы в публичных IP адресах.
Рисунок 2.3.1 - Схема получения публичного (белого) IP-адреса
Штаб-квартира
компании
ICANN
находится
в
Лос-Анджелесе,
Калифорнии в Соединённых Штатах Америки. Это сложилось исторически,
и никто не решился заменить эту компанию.
***
2.4 Основные сведения о структуре технического аспекта национальной
безопасности.
26
Интернет – это технология. Технология, позволяющая людям овладеть
множеством знаний без необходимости выходить из дома. Достаточно
включить компьютер и подключиться к сети. Однако существует множество
проблем, которые непосредственно связаны с доступностью информации.
Если вся информация будет открыта всем пользователям, то наступит
хаос. Это произойдёт из-за того, что будут разрушаться культурные,
морально-этические, эстетические и прочие грани. Это очень опасно для
общества любой страны. Общество начнёт разрушаться и это приведёт к
мировому кризису. Помимо правдивой информации, существует и ложная
информация (по случайности и незнанию автора или по умыслу создателя той
или иной статьи). Дезинформация гораздо более опасна, чем сама
информация. Грамотно собранная дезинформация, которая будет играть на
чувствах жителей, может приобрести катастрофические последствия.
За примерами далеко идти не надо. Адольф Гитлер создал агитационную
компанию на основе своей книги «Моя борьба» (нем. Mein Kampf). После
Первой Мировой Войны произошёл разгром Германии. Германия стала на
грани понятия «сверхдержавы». Гитлер воспользовался этим и начал
подстрекать народ Германии. Он сыграл на чувствах граждан и на их незнании
(или плохом знании) истории. Чем это всё обернулось, нам хорошо известно.
Однако, если полностью заблокировать информацию извне, то начнётся
не меньшее культурное разложение общества и возможен переворот внутри
страны.
У государства стоит очень непростая задача – создать такую систему,
которая предоставит доступ ко всей информации, которая была бы
адаптирована
среднестатистическому
читателю,
и
дать
возможность
гражданам узнать мир не выходя из дома, но и не разрушая культурных
ценностей страны.
***
27
2.5 Северная Корея.
В Северной Корее нет Интернета. Совсем. Вместо Интернета жители
Северной Кореи используют огромную внутреннюю локальную сеть. Она
называется «Кванмён». Операционная система на всех персональных
компьютерах стоит своя – «Red Star» (рисунок 2.5.1). Однако пользоваться
информацией всё же кто-то может. Доступ к Интернету предоставляется
спецслужбам, высшим чиновникам и научным работникам. Доступ очень
жёстко контролируется. Доступ в сеть в КНДР до 2 октября 2017 года
предоставлялся
лишь
одной
китайской
компанией
China
Unicom
и
ограничивался несколькими сотнями соединений на всю страну. Эта сеть
подвергалась большому количеству хакерских атак и в декабре 2014 года сеть
не работала. Её починили, но на этом инциденты с сетью не закончились.
Рисунок 2.5.1 - Система «Red Star»
28
В том же 2014 году компания Sony готовилась к выпуску комедии
«Интервью». Действие картины происходит в КНДР и в ней используется
образ лидера государства – Ким Чен Ына. Правительство КНДР осудило
выпуск фильма. Затем, до сих пор неизвестный хакер, взломал сервера, где
хранился материал фильма, и попытался удалить картину.
Президент США Барак Обама обвинил Северную Корею во взломе и
нанесении ущерба компании Sony и пообещал отомстить КНДР. Через
несколько дней интернет в Северной Корее по странным обстоятельствам
пропал.
По словам Барака Обамы, ответственность за преступление, по всей
вероятности, целиком лежит на Северной Корее. «Мы ответим симметрично в
том месте, в то время и в той форме, которые посчитаем нужным», – заявил
глава США на пресс-конференции по итогам года в Вашингтоне, сообщает
агентство Reuters.
Со 2 октября 2017 года российская компания «ТрансТелеКом» (ТТК)
начала поддерживать трафик из Северной Кореи, тем самым став вторым
провайдером КНДР.
По сей день Россия продолжает предоставлять доступ в Интернет
Северной Корее, а специальное ведомство копирует сайты из настоящего
интернета, подвергает их цензуре и выгружает в «Кванмён».
Что касается законов в КНДР, для Российского гражданина они могут
показаться ужасающими. Так, власти Северной Кореи требуют регистрировать
в полиции даже персональные компьютеры. Пойманному за просмотром
пиратских
DVD-дисков
человеку
грозит
исправительной колонии.
***
2.6 Мьянма.
29
провести
остаток
жизни
в
В Мьянме ситуация обстоит не многим лучше, чем в КНДР. Там тоже
соблюдается практически полный запрет на доступ в Интернет.
Выйти в сеть можно лишь из ограниченного числа интернет-кафе,
разумеется, под присмотром спецслужб. Многие сайты – заблокированы,
впрочем, немногочисленные пользователи (по данным Google в сеть выходит
1 % населения Мьянмы) активно используют различные методы для обхода
блокировок, хотя за подобные ухищрения грозят серьезные наказания.
Рисунок 2.6.1 - Интернет-кафе в Мьянме
***
2.7 Иран.
В стране заблокированы Facebook, Twitter, YouTube, Whatsapp, Viber, а
также российские «ВКонтакте» и «Яндекс». На фоне этих блокировок
ожидаемо массовое распространение в стране получил Telegram, его
используют 40 миллионов человек. Власти заблокировали мессенджер в конце
30
2017 года на фоне антиправительственных демонстраций, однако позднее
сняли ограничения.
По данным Reuters, Ирану пришлось разблокировать мессенджер,
поскольку он играет важную роль в экономике страны и тысячи людей
лишились работы после его ограничения. Правительство Ирана также активно
занимается фильтрацией контента, не соответствующего государственной
идеологии.
Рисунок 2.7.1 - Жители Ирана в Интернете
***
2.8 Украина.
В мае 2017 года в Украине впервые были заблокированы сразу
несколько крупных популярных ресурсов: «ВКонтакте», «Одноклассники»,
«Яндекс» и несколько других российских сервисов. Против них были введены
31
санкции за «пропаганду и разжигание розни в Украине». Санкции введены
сроком на три года.
Украине не удалось полностью заблокировать российские ресурсы,
поскольку они внедрили proxy-сервисы для обхода блокировок. Однако их
популярность значительно снизилась, и на первые места по посещаемости
вышли западные сайты, такие как Facebook.
***
2.9 Страны Евросоюза.
В странах ЕС действует фильтрация контента. Принято множество
законов, запрещающих распространение расистской, экстремистской и
антисемитской и тому подобной информации. За соблюдением этого жестко
следят соответствующие органы. В отдельных странах существуют некоторые
особенности. В Германии владелец ресурса обязан на видном месте
публиковать полное имя, адрес и прочие контакты. В Италии выход в сеть
через публичные Wi-Fi точки осуществляется с помощью смс-оповещения:
сим-карта привязана к личности владельца.
***
2.10 Китай.
В КНР действует знаменитый «Golden shield», это официальное
название
мощной
системы
фильтрации
контента,
которая
годами
выстраивалась правительством. Неофициальное название – «Великий
китайский файрвол». В Китае заблокированы Google, Facebook, Twitter,
YouTube, Google, Instagram и ряд других известных во всем мире сервисов.
«Золотой Щит» является одним из 12 ключевых проектов КНР в сфере
e-governement, именуемых «золотыми». В числе других «золотых» такие
проекты, как «Золотые мосты» (для общеэкономической информации),
32
«Золотая таможня» (для иностранных торгов), «Золотая карта» (для
электронных валют), Golden Finance (для управления финансами), «Золотое
сельское хозяйство» (для сельскохозяйственной информации), «Золотое
налогообложение» (для налогообложения), «Золотая вода» (для информации о
водных ресурсах), «Золотое качество» (для контроля качества).
Проще говоря, в Китае пристально следят за сетевыми технологиями и
их блокировка одна из лучших в мире как по качеству самой блокировки, так
и по удовлетворённости населения из-за высоких результатов Китая в IT
среде.
Рисунок 2.10.1 – Интернет-кафе в Китае
***
2.11 Как устроена блокировка в Китае и как её реализуют в России.
33
В Китае потратили миллиарды долларов на оборудование и добились
работы внешнего интернета со скоростью примерно один мегабит. В России
пошли своим путём – начали ставить блокировку не на канал, а рядом.
Систему назвали DPI – Deep Packet Inspection. Если она стоит прямо на
канале провайдера – это активный DPI, если параллельно – пассивный. В
Китае применяют оба варианта, в России – в основном пассивный.
Когда вы запрашиваете заблокированный ресурс сидя в России, запрос
без каких-либо проверок улетает на сервер этого ресурса. Одновременно с
этим он дублируется на «коробочку» с DPI, чья задача проверить
заблокирован ли сайт. Если да – вернуть редирект (процедура, которую
используют для перенаправления посетителей сайта с одной страницы на
другую) «сайт заблокирован» быстрее, чем вам ответит сам заблокированный
сайт. Не успел – проиграл, заблокированный сайт загрузился.
В Китае вместо редиректа используют флаг сброса соединения. Там не
задумываются о том, что вывести при выходе на заблокированный ресурс, а
просто показывают вечную загрузку.
Уже на данном этапе становятся видны недостатки. Ведь можно просто
настроить свой компьютер отбрасывать все «редиректы» от пассивного DPI и
смотреть любой запрещенный сайт.
В России DPI физически не успевает анализировать все пакеты, поэтому
он выбирает только подозрительные. «Подозрительность» он определяет по
словам «HTTP» и «Host» внутри. Причем именно в таком регистре. Если
написать, скажем, «hoSt», что совершенно законно и не нарушит работу в
сети, DPI даже не посмотрит на такой пакет.
Представим, что кто-то изобрел самый умный в мире DPI. Он ничего не
отбрасывает, знает все тонкости HTTP и стоит полтора миллиарда. Зато ни
один пакет, содержащий «Host: rutracker.org», не пройдет. Зато пройдут два
пакета: «Hos» и «t: rutracker.org», что приведёт к открытию запрещённого
сайта.
34
Когда Роскомнадзор понял, что глупо продолжать затею с DPI, они
начали блокировать Интернет по IP-адресу (адрес сайта в Интернете). В таком
случае блокируется сама попытка отправить запрос и делается это обычным
межсетевым экраном.
Всё это легко обходится технологией Proxy, где запрос сначала
отправляется на другой IP, или VPN, где все данные идут через шифрованный
тоннель и IP из них вообще не прочитать.
Интересный нюанс. Китай тоже не смог заблокировать интернет. Он
сделал так, что сайтами «снаружи» стало мучительно невозможно
пользоваться.
***
2.12 Как Россия работает над техническим аспектом национальной
безопасности.
Существует 3 способа запретить сайт. Заблокировать страничку можно
по её адресу (URL), по домену сайта или по IP всего сервера. Роскомнадзор не
регулирует, какой способ будут использовать провайдеры.
Когда сайт запрещают, он попадает в «выгрузку» (vigruzki.rkn.gov.ru).
Это табличка, в которой указаны URL, домен, IP и подсеть. Провайдеры
должны за три дня заблокировать всё это любым способом, иначе штраф.
Всех провайдеров обязали купить специальную коробочку «Ревизор»
(рисунок 2.12.1), которая проверяет, заблокированы ли сайты, и пишет отчёты.
Сделана она на базе самого дешевого роутера TP-LINK за 1500 рублей (TPLink MR3020). Детальный разбор ревизора вы найдёте, перейдя по ссылке –
habr.com/ru/post/282087/.
В случае массовой блокировки IP адресов (когда они попадают в
выгрузку в больших количествах в короткие сроки), ревизор может зависнуть,
и всем провайдерам его требуется перезагрузить.
35
Рисунок 2.12.1 – Ревизор
***
2.13 Итоги работы России над проектом технической национальной
безопасности.
16 апреля 2018 года началась блокировка мессенджера Telegram. Спустя
ровно год, глава Роскомнадзора Александр Жаров отчитался об успехах в
замедлении работы Telegram. Он заявил, что существующей системы
блокировки недостаточно, несмотря на то что мессенджер «работает
медленнее».
«Мы по-прежнему определяем IP-адреса, на которых Telegram
существует. Блокируем их. Периодически вы, наверное, наблюдаете на своём
смартфоне, что загружается он медленнее».
Жаров уточнил, что не хочет подводить итоги и «раскрывать все карты»,
так как ведомство только исполняет судебное решение. «Очевидно, что
существующая система блокировки, которая предполагает блокировку
операторами связи по сигнатуре IP-адрес и DNS, не оказывает того
36
воздействия, которая должна была бы оказывать, если бы мы говорили о
блокировке. Но мы сейчас говорим о противодействии распространению
запрещенной информации на территории РФ».
Рисунок 2.13.1 - Александр Александрович Жаров
23
марта
2020
года
Жаров
был
освобожден
от
должности
распоряжением Михаила Мишустина (премьер-министра страны).
С 24 марта 2020 года Жаров стал генеральным директор акционерного
общества «Газпром-Медиа Холдинг».
***
2.14 Заключение темы.
Как итог, проведённой работы, хотелось бы сделать одну итоговую
оговорку. Каждый гражданин Российской Федерации должен сам решить для
себя, зачем был нужен тот или иной законопроект. Единственное желание,
которое остаётся после глубокого изучения данного вопроса – качественное и
высококвалифицированное исполнение законопроекта для удобства и защиты
граждан, без пустой траты средств государства.
37
3. Защита интранета компании.
3.1
Предотвращение
утечек
конфиденциальной
информации
из
информационной системы вовне.
Технология предотвращения утечек конфиденциальной информации
(DLP) – это система (программно-аппаратный комплекс), создающая
защищенный цифровой «периметр» вокруг организации. Данная система
анализирует всю исходящую, а в ряде случаев и входящую информацию.
Контролируется не только интернет-трафик, но и ряд других данных
(документы, носители данных, внутренняя сеть передачи информации). В
данной статье разбираются основы технологии DLP для того, чтобы
начинающие специалисты информационной безопасности смогли разобраться
в
принципах
организации
предотвращения
утечек
конфиденциальной
информации в бизнес-архитектуре.
В наше время в России существует огромное количество всевозможных
организаций. Бизнес-сектора разбросаны на 3 основных типа, которые легко
понять по их распределениям. Это малый, средний и крупный бизнес. Главное
отличие их друг от друга – доход компании в год. Также, одно из основных
отличий – количество работников в компании.
Все эти компании нуждаются в защите как от атак «снаружи» (извне),
так и от атак «изнутри». Если крупный бизнес может позволить себе создать
собственную систему безопасности по стандартам Министерства Обороны,
ФСТЭК, ФСБ, то малый и средний столкнутся с серьёзной проблемой защиты
информации. Особенно остро эта проблема будет выявлена во внутренней
защите информации (внутри организации), так как нынешние IT-гиганты
(такие как Ростельком, Cisco, Huawei) могут предоставить готовое решение
защиты от внешних угроз за разумную плату для малого и среднего бизнеса,
чего нельзя сказать о защите изнутри компании. По сей день эта часть
кластера безопасности остаётся исключительно «на совести» компании.
39
Дабы детально разобраться в вопросе, необходимо описать технологию
предотвращения утечек конфиденциальной информации, её законность и
структуру, а также продемонстрировать наглядный пример работы технологии
на базе малого бизнеса, который перешёл в разрядность крупного, благодаря
этой технологии.
***
3.2 Что такое DLP.
DLP (Data Leak Prevention) – это программно-аппаратный комплекс для
предотвращения утечек конфиденциальной информации из информационных
систем. Существует большое количество терминов, обозначающих примерно
то же самое – Data Loss Prevention (DLP); Data Leak Prevention (DLP); Data
Leakage Protection (DLP); Information Protection and Control (IPC); Information
Leak Prevention (ILP); Information Leak Protection (ILP); Information Leak
Detection & Prevention (ILDP); Content Monitoring and Filtering (CMF);
Extrusion Prevention System (EPS).
В информационных системах существование множества терминов
свидетельствуют о том, что нет чётких технологических качеств системы, а
это значит, что стандарт находится в стадии разработки во время его
активного использования в мире.
***
3.3 История одной компании или как сделать цифровую пиццу.
Для наглядного объяснения нужности технологии DLP, приведем
пример одного очень умного управленца – Федора Овчинникова.
40
Рисунок 3.3.1 - Фёдор Овчинников (фото Евгения Разумного)
Чем же бизнес Фёдора выделился от всех прочих?
Фёдор Овчинников основатель сети пиццерий «Dodo Pizza». В 2019 году
Фёдор приехал на ежегодный форум компании Cisco в Москве «Cisco Connect
2019». Слоганом форума стала фраза вице-президента Cisco по работе в
России и СНГ Джонатана Спарроу (Jonathan Sparrow) – «Вместе на волне
цифровизации». Появление на столь узконаправленном техническом форуме
директора сети пиццерий, да ещё и в качестве открывающего конференцию
спикера, не могло не оставить вопросов у посетителей выставки. Дело в том,
что сеть пиццерий «Dodo Pizza» не совсем обычная сеть…
В сети работают 72 программиста и к ближайшему году планируется
увеличить их до 250 человек. На этих программистах лежит главная
ответственность за качественное выполнение заказов. Безусловно важны
повара, PR-менеджеры, управленцы конкретных пиццерий, но в этой
пиццерии главные – IT-специалисты.
Этот парадокс произошёл из-за того, что в «Dodo Pizza» создали не
пиццерию как ресторан в конкретном городе (хотя и начинали они с 1
пиццерии в Сыктывкаре), а систематизированную сеть работы пиццерий.
41
Работает данная сеть путём создания сложной вычислительной архитектуры и
внедрением её в любое техническое устройство для работы (персональные
компьютеры и планшеты). В России это было инновационное решение, и оно
приобрело своё название «Franchise as a Service» (Франшиза как Сервис).
Для реализации столь амбициозного проекта потребовалось создать не
только удобную, но и надёжную систему. Её назвали «Dodo IS». Основной
«фишкой» данной системы является возможность создания пиццерии любым
владельцем подходящего помещения в России. Всё что нужно сделать –
купить
нужное
количество
оборудования,
установить
программное
обеспечение и начинать работать в крупной фирме пиццерий.
Так как 70 % прибыли идёт через онлайн-платформу, нужен чёткий
контроль
данной
платформы.
Пользователей
(заказчиков
пиццы)
контролировать довольно легко, достаточно создать хороший и надёжный
сайт, а вот исполнителей заказа (работников конкретной пиццерии),
достаточно сложно. Если в сети 2-3 ресторана, достаточно создать визуальный
контроль (хотя и в этом случае, он самый небезопасный), а если пиццерий
более 100, задача усложняется в разы. Именно здесь Фёдор и применил
технологию DLP, которая дала ему возможность контролировать все 493
пиццерии по всей России, благодаря стараниям 72 программистов.
Рисунок 3.3.2 - Рост сети пиццерий «Dodo Pizza»
42
Таким образом, Овчинников смог создать платформу, которая позволила
из малого бизнеса перейти в крупный. Полное выступление Фёдора на форуме
«Cisco
Connect
2019»
можно
посмотреть
по
ссылке
(www.facebook.com/CiscoRu/videos/399013887580900). Помимо этого, создана
бесплатная книга об успехе компании, с которой совершенно бесплатно
можно ознакомится по ссылке – book.dodopizza.info.
***
3.4 Карта бизнеса.
Конечно, далеко не все бизнес аналитики способны создать такой
успешный план проекта, однако, защита нужна не только «носителям
инноваций», но и малому бизнесу, который в России имеет подавляющее
большинство. Как сообщает единый реестр субъектов малого и среднего
предпринимательства (МСП) (rmsp.nalog.ru), на 10 июня 2019 года малого и
среднего бизнеса приходится 6 206 133 зарегистрированных компаний, а на
отдельно средний, только 18 490, крупного же бизнеса – единицы.
43
Рисунок 3.4.1 - Малый и средний бизнес на 10.06.2019 (реестр МСП)
Рисунок 3.4.2 - Средний бизнес на 10.06.2019 (реестр МСП)
44
Бизнес ранжируется, как уже было сказано ранее, по доходу компании в
год и количеству работников в компании (Таблица 3.4.1).
Таблица 3.4.1 - Соответствии бизнеса реестру МСП с 2016 года.
Критерии
Малый
Средний
Крупный
Доход
До 800 млн.
До 2 млрд.
Более
руб.
Количество
сотрудников
100
работников
Доля
участия
руб.
Для
млрд. руб.
101-250
работников
участия
2
гос.
Более
250
работников
организаций,
а
также
третьих общественных, религиозных организаций и фондов не
лиц в уставном более 25% в сумме. Для других юр. лиц (иностранных и
капитале
тех, которые не являются субъектами малого и МСП)
максимум 49 % в сумме. В случае, если организации сами
являются субъектами малого и МСП, то их доля не
ограничена.
Сделав вывод, можно с уверенностью сказать о необходимости системы
DLP в любом виде предпринимательства и особенно в малом бизнесе.
***
3.5 Структура работы DLP.
Как говорилось ранее, система создаёт своего рода контур («периметр»)
вокруг организации или её части. Анализируется вся исходящая, а в ряде
случаев и входящая информация. Система имеет ряд механизмов, задача
которых – определить степень конфиденциальности документов. Сейчас
разработаны на хорошем уровне два алгоритма анализа: анализ специальных
маркеров
документа
(статистический
анализ)
45
и
анализ
содержимого
документа (лингвистический анализ). Разберём особенности каждого вида
анализа данных.
Рисунок 3.5.1 - Структура DLP в работающей системе
***
3.6 Лингвистический анализ.
Использование стоп-слов («секретно», «конфиденциально» и т.п.) для
блокировки исходящих сообщений можно считать прародителем современных
DLP систем. Конечно, защита крайне условна, так как удаляя стоп-слово,
документ пропускается через сеть.
Толчок в разработке лингвистических технологий был сделан в начале
этого
века
электронную
создателями
почту
от
Email-фильтров.
спама.
Однако
Эта
технология
использовать
защищает
антиспамерские
технологии в DLP-продуктах без серьезной доработки невозможно, так как в
письмах достаточно делить информацию на две категории: спам и не спам
(Метод Байеса). В делопроизводстве нужно уметь классифицировать
информацию
по
функциональной
принадлежности
(финансовая,
производственная, технологическая, коммерческая, маркетинговая), а внутри
46
классов – категоризировать ее по уровню доступа (для свободного
распространения, для ограниченного доступа, для служебного использования,
секретная, совершенно секретная и т.д.).
Большинство
современных
систем
лингвистического
анализа
используют не только контекстный анализ (то есть в каком контексте, в
сочетании с какими другими словами используется конкретный термин), но и
семантический
анализ
текста.
Семантические
технологии
работают
эффективнее на больших текстах. При анализе же коротких сообщений
(например, SMS) ничего лучшего, чем стоп-слова, до сих пор не придумано.
Достоинства технологии
• Работа
с
документом
напрямую.
Документы
защищаются
немедленно.
• Обучаемость. Применяя маркеры, они будут автоматически
применяться ко всем документам.
• Масштабируемость.
Скорость
обработки
информации
пропорциональна ее количеству и абсолютно не зависит от
количества категорий.
• Возможность
детектировать
в
информационных
потоках
категории, не связанные с документами, находящимися внутри
компании.
Недостатки технологии
• Зависимость от языка.
• «Компаунды» – составные слова. При присоединении суффиксов и
окончаний
могут
возникнуть
проблемы
с
распознаванием
(например, если слово «разведка» заблокировано, то слово
«разведчик» тоже может попасть под правило блокировки).
• Если не вся конфиденциальная информация находится в виде
связных текстов, то возможны ошибки.
• Сложность разработки технологии.
47
***
3.7 Статистический анализ.
Задача компьютерного поиска значимых цитат (почему именно
«значимых» – немного позже) заинтересовала лингвистов еще в 70-х годах
прошлого века, если не раньше. Текст разбивался на куски определенного
размера,
с
каждого
из
которых
снимался
хеш
(определённая
последовательность знаков (похоже на вес файла, но хеш зависит от
содержания файла)). Если некоторая последовательность хешей встречалась в
двух текстах одновременно, то с большой вероятностью тексты в этих
областях совпадали.
Побочным продуктом исследований в этой области является, например,
«альтернативная хронология» Анатолия Фоменко – уважаемого ученого,
который занимался «корреляциями текстов» и однажды сравнил русские
летописи разных исторических периодов. Удивившись, насколько совпадают
летописи разных веков (более чем на 60 %), в конце 70-х он выдвинул теорию,
что наша хронология на несколько веков короче. Поэтому, когда какая-то
выходящая на рынок DLP-компания предлагает «революционную технологию
поиска цитат», можно с большой вероятностью утверждать, что ничего, кроме
новой торговой марки, компания не создала.
Статистические технологии относятся к текстам не как к связной
последовательности слов, а как к произвольной последовательности символов,
поэтому одинаково хорошо работают с текстами на любых языках. Поскольку
любой цифровой объект – хоть картинка, хоть программа – тоже
последовательность символов, то те же методы могут применяться для
анализа не только текстовой информации, но и любых цифровых объектов. И
если совпадают хеши в двух аудиофайлах – наверняка в одном из них
содержится цитата из другого, поэтому статистические методы являются
48
эффективными средствами защиты от утечки аудио и видео, активно
применяющиеся в музыкальных студиях и кинокомпаниях.
Самое время вернуться к понятию «значимая цитата». Ключевой
характеристикой сложного хеша, снимаемого с защищаемого объекта
(который в разных продуктах называется то Digital Fingerprint, то Document
DNA), является шаг, с которым снимается хеш. Как можно понять из
описания, такой «отпечаток» является уникальной характеристикой объекта и
при этом имеет свой размер. Это важно, поскольку если снять отпечатки с
миллионов документов (а это объем хранилища среднего банка), то для
хранения всех отпечатков понадобится достаточное количество дискового
пространства. От шага хеша зависит размер такого отпечатка – чем меньше
шаг, тем больше отпечаток. Если снимать хеш с шагом в один символ, то
размер отпечатка превысит размер самого образца. Если для уменьшения
«веса» отпечатка увеличить шаг (например, 10 000 символов), то вместе с
этим увеличивается вероятность того, что документ, содержащий цитату из
образца длиной в 9 900 символов, будет конфиденциальным, но при этом
проскочит незаметно.
С другой стороны, если для увеличения точности определения брать
очень мелкий шаг, несколько символов, то можно увеличить количество
ложных срабатываний до неприемлемой величины. В терминах текста это
означает, что не стоит снимать хеш с каждой буквы – все слова состоят из
букв, и система будет принимать наличие букв в тексте за содержание цитаты
из текста-образца. Обычно производители сами рекомендуют некоторый
оптимальный шаг снятия хешей, чтобы размер цитаты был достаточный и при
этом вес самого отпечатка был небольшой – от 3 % (текст) до 15 % (сжатое
видео). В некоторых продуктах производители позволяют менять размер
значимости цитаты, то есть увеличивать или уменьшать шаг хеша.
Достоинства технологии
• Необходимость объект-образцов.
49
• Независимость метода от языка текста и нетекстовой информации.
Недостатки технологии
• Ответственность за обучение системы остаётся на пользователе.
• Физический размер отпечатка.
***
3.8 Какую технологию использовать.
Так как обе технологии имеют свои особенности, достоинства и
недостатки, профессионалы
используют
обе
технологии
для
защиты
компании, но при этом нельзя забывать и о законности методов.
***
3.9 Закон и DLP.
В соответствии с ТК РФ, 98-ФЗ, 152-ФЗ и пр., функционирование DLP в
организации
включает
несколько
аспектов,
требующих
юридического
оформления. Еще один важный момент – большинство регламентов и
положений требует подписи сотрудника, который либо выступает в качестве
одной из сторон соглашения, либо подтверждает ознакомление с содержанием
документа. Поэтому к работе над юридическим оформлением внедрения DLP
необходимо привлекать HR-отдел и, естественно, юристов.
Информация ограниченного доступа.
Прежде всего, надо понимать, что конфиденциальными данными
является не то, что компания хотела бы держать в секрете, а то, что формально
закреплено в качестве информации ограниченного доступа. К информации
ограниченного доступа относятся персональные данные, коммерческая,
служебная, профессиональная тайна, сведения о сущности изобретения и пр.
50
Поэтому первым шагом компания должна определить и документировать
перечень информации ограниченного доступа, с которым сотрудники должны
быть ознакомлены под роспись. Документы, которые понадобятся на данном
этапе:
• Перечень информации ограниченного доступа.
• Перечень лиц, допущенных к обработке информации ограниченного
доступа.
• Положения об обработке и защите информации ограниченного доступа
(ПДн, КТ и пр.).
• Приказы о введении режима защиты информации (особенно КТ).
Разглашение информации ограниченного доступа.
Можно перейти непосредственно к вопросам возможного разглашения
информации. В первую очередь, необходимо сформировать документы, в
явном
виде
запрещающие
разглашение
сотрудниками
информации
ограниченного доступа, ставшей им известной в связи с исполнением
трудовых обязанностей. Такой запрет должен быть прописан в документах
двух типов: общие регламенты компании и документах, касающихся режима
защиты информации.
Общие:
• Трудовой договор.
• Правила внутреннего трудового распорядка.
• Должностная инструкция работника.
• Положение о подразделении работника.
• Дополнительные соглашения с работником.
Режим защиты информации:
• Документы, содержащие положения и процедуры ИБ: общая политика
ИБ, парольная защита, контроль доступа, защита от вредоносного ПО,
допустимое использование ИС и сервисов (в т.ч. сеть Интернет и
51
корпоративная
почта),
мониторинг
и
контроль,
управление
инцидентами, обучение и повышение осведомленности и пр.
• Инструкции пользователям информационных систем, сервисов и
средств защиты информации.
Документы на DLP-систему.
Система защиты информации должна соответствовать актуальным для
компании угрозам, а также требованиям и рекомендациям регулирующих
органов (Роскомнадзор, ФСБ России, ФСТЭК России).
***
3.10 Разработанные системы быстрого запуска.
В случае, если в компании нет специалиста информационной
безопасности,
можно
воспользоваться
готовыми
решениями
для
так
называемого «быстрого старта». Одна из таких систем – система «DeviceLock
DLP» от российской компании «Смарт Лайн Инк» («SmartLine Inc»). Описать
работу систему можно в трёх схемах ниже.
52
Рисунок 3.10.1 - Предотвращение утечки информации
Рисунок 3.10.2 - Контекстный контроль и контентная фильтрация
53
Рисунок 3.10.3 - Администрирование и управление системой
***
3.11 Заключение темы.
В заключении данного раздела хочется пожелать начинающим
владельцам бизнеса внедрять системы в нужное время и заблаговременно
планировать
свой
бизнес-проект.
Статья
была
предназначена
для
ознакомления с функционалом технологии DLP и её результативным
применением, что, при желании, может помочь осуществить мечту проектлидера.
54
4. Апокалипсис систем безопасности.
4.1 Начало конца.
В данной главе я хотел бы рассказать о том, что может ждать
специалистов информационной безопасности в ближайшем будущем. Речь
пойдёт о квантовых вычислениях, теории детерминизма и теории обратной ей
–
гипотезы
американского
физика
Хью
Эверетта,
предложившего
многомировую интерпретацию квантовой механики. Всё это кажется
несвязанным с защитой информации, но это не так.
***
4.2 Введение в квантовую механику.
Хотя квантовая механика лежит в основе всей реальности, она не всегда
выглядит так, как то, что мы наблюдаем в нашей повседневной жизни.
Например, собака одной масти не может быть белой и черной масти в одно и
то же время; белая собака, находящаяся в комнате, не становится черной,
когда выходит из нее, и собака не может разделиться на две собаки прямо на
ваших глазах, а затем снова слиться воедино. Но на атомном и субатомном
уровнях особенности квантовой механики состоят как раз в подобных
странностях. Какие же свойства квантов, о которых я говорю, столь странные?
Вот некоторые примеры:
• одна квантовая частица может находиться в двух местах и быть
одновременно двумя совершенно разными частицами;
• одна квантовая частица может разделиться на две, а позже
столкнуться или смешаться и восстановиться или исчезнуть;
• в реально пустом пространстве, где абсолютно ничего нет (о чем
ученым известно), квантовые частицы могут просто появиться «из
воздуха» и затем исчезнуть;
55
• кажется, что квантовая частица ведет себя одним образом, когда ее
не измеряют, и другим, будучи измеренной, как будто природа
позаботилась о воздействии процедуры измерения. Похоже, это
даже изменит путь частицы или сделает ее поведение обратным во
времени, если вы решите измерить ее после того, как она прошла
свой первоначальный путь;
• две квантовые частицы могут быть «спутаны» таким образом, что
когда вы меняете одну, другая каждый раз тоже мгновенно
меняется таким же образом, независимо от того, насколько далеко
они друг от друга, хоть через вселенную;
• квантовое состояние – это всегда все возможные состояния
(называемые
суперпозицией
состояний),
но
единственное,
конечное состояние с уверенностью предсказано быть не может;
• каждый возможный ответ будет ответом в какой-то момент, хотя
каждый из этих ответов может быть из своей отдельной
совокупности. Для каждой возможной комбинации на атомном
уровне могут быть разные совокупности вариантов ответа – так
называемые мультиверсы (multiverses);
• телепортация, подобная показанной в научно-фантастическом
сериале «Star Trek» («Звездный путь»), возможна.
В «странные» свойства квантовых частиц трудно поверить. Тем не менее
эти квантовые свойства и результаты не только были проверены и доказаны,
но они являются одними из самых проверенных и признанных научных
теорий
в
мире.
Они
постоянно
проверялись
и
оспаривались.
Все
эксперименты, которые были проведены, чтобы опровергнуть основные
принятые теорией принципы квантовой механики, потерпели неудачу. Многие
из неудач, в том числе и Эйнштейна, только в еще большей мере
подтверждали квантовую теорию. Большинство Нобелевских премий по
физике за последние 75 лет были присуждены ученым, которые улучшили
56
наше понимание квантовой механики. В последние несколько десятилетий
интерес к этой теме возрастает, и наше понимание квантовой механики с
каждым годом улучшается.
Хотя перечисленные в предыдущем разделе факты могут при первом
прочтении
показаться
невероятными,
подлинность
квантовой
физики
оказывается для нас все большей и большей реальностью и становится в один
ряд с тем фактом, что Солнце дает жизнь нашей планете или что любой
раскаленный
существования
материал
дает
цифровых
красное
камер,
свечение,
а
оптоволоконых
также
с
фактами
кабелей,
лазеров,
компьютерных чипов, носителей и коммуникаций интернета. Очень вероятно,
что реальность как раз и состоит в том, что каждая составляющая этой
реальности основана на квантовой механике.
Физики-теоретики часто гадают о том, почему квантовая механика
такова, какова она есть. Вы можете услышать предположения разного рода,
обсуждаемые
различные
их
интерпретации
или
взгляды,
такие
как
копенгагенская интерпретация или взгляд «Много миров» (будет рассмотрен
ниже, в разделе «Эффект наблюдателя» этой главы). Существует более
десятка интерпретаций, каждая из которых пытается объяснить какую-то
часть квантовой механики, даже не зная, точна эта интерпретация или нет.
Также будет рассмотрена детерминистическая теория.
***
4.3 Эффект наблюдателя.
В квантовом мире простое наблюдение квантовой системы меняет ее,
хотя квантовые физики не знают, почему, или не согласны в этом друг с
другом. Десятилетия экспериментов показали, что это свойство, как и все
квантовые свойства, обсуждаемые в этой главе, является реальным и точным.
Ученые не задаются вопросом, правда ли это, а ищут ответ на вопрос, почему
или как это происходит. Например, в каждом эксперименте с двумя щелями
57
(рисунок 4.3.1), когда ученые помещают фотонный детектор, чтобы измерить,
через какую щель проходит фотон, фотон всегда ведет себя только как частица
(и результирующие волновые полосы не возникают). Если ученые выключат
детектор, волновые полосы возвращаются. Как будто природа видит, что
происходит измерение, оберегает и меняет то, что происходит. Возможно, она
показывает нам не то, что происходит на самом деле, но это то, как мы
описываем происходящее на основе наших экспериментальных наблюдений и
результатов, потому что у нас нет других способов передать то, что мы видим.
Мы еще не знаем, что происходит.
Рисунок 4.3.1 - Эксперимент с двумя щелями и источником света,
подтверждающий двойственность волна–частица
Это привело ко многим различным конкурирующим интерпретациям.
Одна интерпретация говорит, что невозможно наблюдать за системой без
какого-либо вмешательства в нее. Например, просто чтобы наблюдать зачем58
то, часто требуется свет (то есть фотон) или какое-либо искусственно
установленное оборудование для получения результата, и эти дополнения
влияют на возможные квантовые результаты. На примере фотона: фотон
должен «ударить» по тому, что измеряет, и отскочить назад к детектору (или
нашему глазному яблоку), чтобы мы могли обнаружить это, и сам по себе
«удар» должен вызвать какое-то взаимодействие.
Другая популярная интерпретация (копенгагенская интерпретация)
говорит, что
когда
квантовая
волновая
функция
многих
вероятных
возможностей наконец наблюдена и измерена, волновая функция «ломается»
(это явление известно под названием коллапс волновой функции) и переходит
в конечное состояние. Наблюдение, создающее в результате коллапс, является
помехой. Чтобы понять копенгагенскую интерпретацию, вы должны еще раз
убедиться, что вы понимаете и верите в суперпозицию, в то, что любой
квантовый ответ или состояние из всех ответов или состояний до измерения
является возможным одновременно. Акт измерения квантового сценария
сводит все состояния или ответы в единый окончательный ответ или
состояние. Это измерение сворачивает все одновременно возможные ответы в
один окончательный, постоянный ответ (который может являться или не
являться вероятностным «правильным» ответом и может не быть тем же
самым ответом, если измеряется или наблюдается как-либо иначе).
Копенгагенская
интерпретация
имеет
наибольшую
поддержку
в
квантовом мире для объяснения, почему наблюдение чего-то меняет его. Хотя
странность, присущая созданному Шредингером мысленному эксперименту
«Парадокс кота в коробке», была именно тем, что ученый хотел
продемонстрировать: насколько противоречит интуиции копенгагенская
интерпретация с учетом того, чему мы верили ранее. Немногие ученые знали,
что копенгагенская интерпретация не была даже близко к тому объяснению, в
которое трудно поверить.
Другая интерпретация, «Много миров», гласит, что все возможные
ответы относительно коллапса волновой функции принадлежат теперь другим
59
вселенным и что каждый квантовый коллапс создает ряд новых вселенных,
равных всем возможным ответам вероятностной волновой функции перед
коллапсом. Вот это да! Теперь, учитывая, что вероятны триллионы и
триллионы квантовых результатов каждую секунду, это создаст множество
вселенных в огромном море многовариантности (мультиверсов, multiverses).
Каким бы безумием это ни казалось, были проведены некоторые базовые
эксперименты, включая тот, о котором стало известно в 2019 году
(https://www.iflscience.com/physics/quantum-experiment-sees-two-versions-ofreality-existing-at-the-same-time/) и который поддерживает идею, что нельзя
исключить квантовые мультиверсы. Большинство людей не верят тому, что
объяснение множеством вселенных является правильным, но поскольку
математика пока этого не исключает, кто знает!..
Эффект наблюдателя оказывает огромное влияние на квантовые
вычисления. Мы хотим, чтобы наши квантовые компьютеры дали нам
замечательные ответы на задачи, которые чрезвычайно трудно решить другим
способом, но они должны быть изготовлены и работать, минимизируя или
утилизируя эффект наблюдателя, чтобы при желании мы могли получать
точные ответы.
***
4.4 Детерминистическая теория и многомировая теория Эверетта.
Не углубляясь в физические явления, существуют две глобальные
теория,
которые
часто
используются
в
квантовых
компьютерах
–
детерминистическая и многомировая. Детерминистическая теория исключает
возможность выбора человеком чего-либо. В данной теории всё будущее
предопределено, а всё прошлое уже произошло.
В многомировой интерпретации строится теория о том, что весь мир –
это результат решений каждого человека. Наша жизнь – это дерево, которое
60
ветвится на каждом решении, но происходит только одна единственная
«ветка» решения. История – это пример именно такой «ветки».
***
4.5 Введение в квантовые компьютеры.
Традиционные компьютеры для хранения, передачи и преобразования
данных используют двоичные цифры (0 или 1). Бит (двоичная цифра) может
быть только в одном из двух состояний: это либо единица, либо ноль.
Включен или выключен. И одновременно может быть только одно состояние.
Существо двоичной природы состоит в том, что частицы (например,
электроны или фотоны, или другие частицы) преобразуются как целые
частицы. С момента появления цифровых компьютеров вплоть до изобретения
квантовых компьютеров это был единственный способ преобразования
цифровой
информации.
Квантовые
компьютеры
позволяют
нам
преобразовывать частицы недвоичным образом, используя их квантовые
свойства.
Квантовые компьютеры вместо битов используют кубиты. Квантовые
биты (сокращенно кубиты, или q-биты) имеют удивительное квантовое
свойство суперпозиции. Одиночный кубит – это система с двумя состояниями
(1 и 0). Но в связи со свойством суперпозиции перед измерением он может
иметь все возможные состояния одновременно. В квантовых компьютерах
кубит может быть равным как 0 или 1, так и 0 и 1. Это связано с волновой
функцией
квантовой
частицы
и
присущим
ей
набором
вероятных
возможностей.
Бит равен либо 1, либо 0. Кубит перед окончательным измерением
является как 1, так и 0. Это означает, что его битовое состояние
экспоненциально по отношению к себе и ко всем дополнительным кубитам,
добавленным к нему. Один кубит может быть двумя состояниями
одновременно (т. е. 0 и 1), а 2-кубитная система может представлять четыре
61
состояния одновременно (т. е. 00 и 01, и 10, и 11). 3-кубитная система может
представлять восемь состояний одновременно (т. е. 000 и 001, и 010, и 100, и
010, и 011, и 110, и 111) и т. д. 3-кубитная система представлена на рисунке
4.5.1.
Рисунок 4.5.1 - Представление 3-кубитной системы
Для понимания кубитов важно то, что любое подобное число битов в
двоичной системе имеет одинаковое количество возможных состояний, но в
каждый момент времени только одно состояние. Бинарная монета никогда не
может приземлиться на ребро. Таким образом, 3-битная система может
вернуть только одно состояние/ответ в данный момент времени. 3-кубитная
система может иметь все 8 состояний, участвующих в решении задачи,
одновременно. 3-кубитная система – это 8-кратное улучшение состояния по
сравнению с 3-битной системой. 4-кубитная система – 16-кратное улучшение
состояния по сравнению с 4-битной системой и т. д. Теперь представьте, что у
вас есть тысячи кубитов, каждый из которых одновременно является системой
с двумя состояниями, и из-за суперпозиции они являются всеми возможными
состояниями
тысяч
кубитов
одновременно.
Скорость
и
логические
возможности, как вы можете себе представить, фантастические.
Приведу лучший пример сравнения скоростей между битами и
кубитами, который мне довелось услышать. Представьте, что мы хотим
62
получить решение при каждом возможном ходе на шахматной доске.
Шахматная доска имеет 64 квадрата (32 черных и 32 белых). Если бы каждый
возможный ход был представлен полученным количеством рисовых зерен,
необходимых для представления всех возможных ходов в шахматах, это
создало бы гору риса размером с Эверест. А количество риса, необходимое,
чтобы представить нечто подобное 2048-битному разложению на простые
числа, равняется 1985 Эверестам из риса.
Компания Google утверждает, что смогла на практике доказать
работоспособность квантового компьютера, приобретённого у канадской
фирмы D-Wave Systems.
D-Wave называет свою систему «первым в мире коммерческим
квантовым компьютером». Однако многие эксперты в этом сомневаются,
говоря,
что
реальных
доказательств
использования
в
компьютере
преимуществ квантовых эффектов попросту нет.
В Google теперь заявляют об обратном: в ходе экспериментов удалось
продемонстрировать, что система D-Wave смогла выполнить поставленную
задачу со скоростью, в 100 млн раз превышающей быстродействие обычного
компьютера с одним процессором (рисунок 4.5.2).
63
Рисунок 4.5.2 – график зависимости скоростей двух алгоритмов
квантового компьютера D-Wave
В работе сравнивается скорость D-Wave на этой задаче с simulated
annealing (алгоритм имитации отжига – общий алгоритмический метод
решения
задачи
глобальной
оптимизации,
особенно
дискретной
и
комбинаторной оптимизации. Один из примеров методов Монте-Карло.) и еще
одним алгоритмом, Quantum Monte Carlo.
Quantum Monte Carlo — это алгоритм не для квантового компьютера,
который, пытается решить интеграл, описывающий квантовое уравнение
системы, методом Монте-Карло.
Google сравнивают SA и QMC на одном ядре CPU и quantum annealing
(квантовый отжиг, он же квантовая нормализация — в математике и
приложениях довольно общий метод нахождения глобального минимума
некоторой заданной функции среди некоторого набора решений-кандидатов.
64
Преимущественно используется для решения задач, где поиск происходит по
дискретному множеству с множеством локальных минимумов) на D-Wave для
достижения той же точности результата (95% от оптимального). SA в их
задаче для этого, например, нужно 109 запусков. Это время выполнения задачи
зависит от количества бинарных переменных.
При максимальном размере задачи D-Wave действительно быстрее
simulated annelaling в 108 раз, но ассимптотически D-Wave не лучше QMC (то
есть, и асимптотически лучше квантовый компьютер задачу не решает), но
лучше SA.
***
4.6
Как
квантовые
вычисления
могут
взломать
существующие
криптокоды.
Если ответить максимально коротко на вопрос «Как квантовые
вычисления могут взломать существующие криптокоды?», то есть два ответ:
«Сокращением времени» и «Использованием квантовых алгоритмов». Что
один, что другой способы выигрывают по одному ключевому параметру –
времени работы алгоритма. При использовании, скажем, стандартного
брутфорса на квантовом компьютере, мы сократим время выполнения
алгоритма минимум в 1000 раз, а при использовании квантовых алгоритмов,
мы сократим количество запусков того или иного алгоритма, что в очередной
раз сэкономит много времени.
***
4.7 Апокалипсис и ручка.
Последним и главным экспериментом данной главы, я считаю
эксперимент с ручкой.
65
Эксперимент был сформулирован как в многомировой теории, так и в
детерминистической теории.
Представим, что мы сидим за столом. Перед нами ручка. Я толкаю
данную ручку к Вам. Я задаю вопрос «Почему ручка прокатилась по столу?».
Ответ: «Потому что я её толкнул». Очередной вопрос: «Почему я её
толкнул?». Ответ: «Потому что хотел проиллюстрировать закон».
Таким образом мы можем продолжать ещё очень долго. Но в примере
мы обговариваем событие в обратном направлении, то есть в направлении в
прошлое, но что будет если мы запустим тот же алгоритм в направлении
будущего? Ответ вас поразит. Мы предскажем будущее. Пусть и недалёкое.
Квантовый компьютер возможно запустить в такой программе и в
случае с детерминистической теорией – данные будут расти в геометрической
прогрессии, а при использовании многомировой теории Эверетта – нет.
Компьютер будет работать в привычном себе режиме ветвления алгоритма с
выбором одной конкретной ветки.
Конечно, сейчас это только теория и ни один квантовый компьютер не
добьётся результат в предсказание будущего, но при больших мощностях и
большем объёме памяти – всё может быть. И мы должны быть к этому готовы.
***
66
5. Целесообразность защиты.
5.1 Эксплуатация темы коронавируса в угрозах ИБ.
Из предыдущей главы, могло показаться, что защищаться нет смысла.
Это не так. До квантового прорыва ещё далеко, да и у хакеров пока нет
доступа к таким технологиям. Однако, с каждым годом «команда атаки»
становится всё агрессивнее. Как пример – активность хакеров во время
пандемии. Вся информация предоставлена Алексеем Викторовичем Лукацким
– бизнес-консультантом по безопасности, Cisco Systems (рисунок 5.1.1).
Рисунок 5.1.1 - Алексей Викторович Лукацкий
Тема коронавируса сегодня заполонила все новостные ленты, а также
стала
основным
лейтмотивом
и
для
67
различных
активностей
злоумышленников, эксплуатирующих тему COVID-19 и все, что с ней связано.
В данной заметке мне бы хотелось обратить внимание на некоторые примеры
такой вредоносной активности, которая, безусловно, не является секретом для
многих специалистов по ИБ, но сведение которой в одной заметке облегчит
подготовку собственных мероприятий по повышению осведомленности
сотрудников, часть из которых работает удаленно и еще более подвержена
различным угрозам ИБ, чем раньше.
Надо
отметить,
коронавирусом,
что
сегодня
совершенно
нет.
Скорее
новых
речь
угроз,
идет
об
связанных
уже
с
ставших
традиционными векторах атак, просто используемых под новым «соусом».
Итак, ключевыми типами угроз я бы назвал:
• фишинговые сайты и рассылки на тему коронавируса и связанный
с ними вредоносный код
• мошенничество и дезинформация, направленные на эксплуатацию
страха или неполноту информации о COVID-19
• атаки против организаций, которые занимаются исследованиями
коронавируса
В России, где граждане традиционно не доверяют властям и считают,
что те скрывают от них правду, вероятность успешного «продвижения»
фишинговых сайтов и рассылок, а также мошеннических ресурсов, гораздо
выше, чем в странах с более открытыми властями. Хотя сегодня никто не
может считать себя абсолютно защищенным от творчески настроенных
кибермошенников, использующих все классические человеческие слабости
человека — страх, сострадание, алчность и т.п.
Возьмем, к примеру, мошеннический сайт, торгующий медицинскими
масками (рисунок 5.1.2).
68
Рисунок 5.1.2 – фишинговый сайт продажи масок
Схожий сайт, CoronavirusMedicalkit.com был закрыт властями США за
бесплатное распространение несуществующей вакцины от COVID-19 с
оплатой «только» почтовых расходов на отправку лекарства. В данном случае,
при столь невысокой цене, расчет был на ажиотажный спрос на лекарство в
условиях панических настроений в США (рисунок 5.1.3).
69
Рисунок 5.1.3 – фишинговый сайт продажи вакцины
Это не классическая киберугроза, так как задача злоумышленников в
данном случае, заключается не в заражении пользователей и не в краже их
персональных данных или идентификационной информации, а просто на
волне страха заставить раскошелиться и купить медицинские маски по
завышенным ценам в 5-10-30 раз превышающих реальную стоимость. Но сама
идея создания фальшивого сайта, эксплуатирующего тему коронавируса,
вполне применяется и киберпреступниками.
Алексей, ежедневно мониторя сервис расследования инцидентов Cisco
Umbrella Investigate, увидел и рассказал, насколько создается много доменов, в
названии которых есть слова covid, covid19, coronavirus и т.п. И многие из них
являются вредоносными.
70
Ещё один из возможных рисков в настоящее время, — это фишинговые
рассылки, маскирующиеся под письма от руководства, в которых якобы
говорится о новых правилах и процедурах удаленной работы, обязательном
ПО, которое надо установить на удаленные компьютеры и т.п. И помимо
электронной почты, киберпреступники могут задействовать мессенджеры и
соцсети.
В такого рода рассылки или программу повышения осведомленности
можно включить и уже ставший классикой пример с фальшивой картой
заражения
коронавирусом,
что запущена университетом
которая
Джона
была
Хопкинса.
схожа
с
той,
Отличием вредоносной
карты являлось то, что при доступе к фишинговому сайту на компьютер
пользователя устанавливалось вредоносное ПО, которое крало учетную
информацию пользователей и отправляло киберпреступникам. Одна из
разновидностей такой программы также создавало RDP-соединения для
удаленного доступа к компьютеру жертвы.
***
5.2 Как отреагировали мошенники Рунета на коронавирус.
После заметки Алексея о том, какие формы принимают киберугрозы,
связанные с коронавирусом, команда «Cisco Systems» решила посмотреть на
то, как в российском Интернете отреагировали на пандемию и что происходит
с киберугрозами у нас, а именно с фишинговыми и мошенническими сайтами.
71
Рисунок 5.2.1 – Cisco Umbrella
В качестве точки отсчета использовался сервис мониторинга и защиты
DNS — Cisco Umbrella, который обрабатывает в день более 150 миллиардов
DNS-запросов и проводит их анализ на предмет вредоносности. С помощью
инструмента расследования Cisco Umbrella Investigate, первым делом было
решено проверить, насколько активно сейчас создаются домены, в названии
которых используются ключевые слова «covid» и «coronavirus». За последние
7 дней появилось:
- 257 доменов с «coronavirus», из которых 170 Cisco отнесли к
вредоносным (рисунок 5.2.2)
72
Рисунок 5.2.2 - 257 доменов с «coronavirus»
• 271 домен с «covid», из которых к вредоносным Cisco отнесли 121
(рисунок 5.2.3)
Рисунок 5.2.3 - 271 домен с «covid»
73
- 349 доменов с «mask» (и их число постоянно растет), из которых
только 9 классифицированы как вредоносные и 1 как фишинговый
(рисунок 5.2.4).
Рисунок 5.2.4 - 349 доменов с «mask»
Классификация вредоносных доменов носит пока предварительный
характер, так как многие домены пока только зарегистрированы, но еще никак
не используются злоумышленниками. Однако, в последствии было выявлено,
что те сайты, которые были допущены к публикации в Интернет «обросли»
большим количеством сторонних IP-адресов, где были сделаны дубликаты
фишинговых сайтов.
***
5.3 17 способов проникновения во внутреннюю сеть компании.
Как можно увидеть в предыдущем разделе, картина атаки – тяжёлая. Тем
не менее, службе безопасности необходимо защищаться. В данной части
74
описывается как можно проникнуть в современную корпоративную сеть,
которая защищена на периметре различными, даже очень хорошими,
средствами сетевой безопасности и самое главное поговорим о том, как с этим
можно бороться.
Давайте посмотрим на современную сеть, которая используют самые
новомодные технологии в области безопасности (рисунок 5.3.1).
Рисунок 5.3.1 – современная сеть
У вас защищен периметр, стоят различные Firewall-ы, Next-Generation
Firewall-ы и многие другие средства защиты периметра.
Какие варианты проникновения в вашу корпоративную сеть существу и
в каких случаях ваш Next-Generation Firewall вам никак не поможет?
Я
хотел
бы
продемонстрировать
привести
что,
несколько
какие
бы
примеров
мощные,
которые
классные,
смогут
широко
разрекламированные, попавшие в самые лучшие квадраты, круги, кривые
Гартнера, Фореста и так далее продукты вы не использовали, все равно у
злоумышленников существует возможность атаки на вашу корпоративную
75
или ведомственную сеть, и поэтому вам надо смотреть чуть шире, чем защита
периметра.
Итак, один из примеров, с которым компании Cisco удалось столкнуться
— это использовании протокола DNS для кражи информации (рисунок 5.3.2).
Рисунок 5.3.2 – утечка через DNS
Обычно злоумышленники используют протокол DNS для того, чтобы
либо подгружать какие-то новые модули, либо использовать DNS в качестве
взаимодействия
уже
установленных
модулей
внутри
корпоративной/ведомственной сети на заражённых компьютерах с некими
«командными серверами». В данном же случае протокол DNS использовался
для того, чтобы в названии домена происходила утечка информации. По
статистике, большинство доменов, имен доменов третьего уровня содержат в
себе не более 25-30 символов, однако, мы видим, что на правом графике у нас
длины доменов составляют 200-230 символов.
Человек не способен придумать такого рода домен. Запомнить его он
тоже не способен. Это в чистом виде некая «аномалия», которая может нам
говорить о том, что либо используются некие домены для каких-то
маркетинговых целей, но обычно такие длинные даже в маркетинговых целях
76
не используются, либо это действия злоумышленников. И вот в данном случае
1 из DNS-серверов, обслуживающий данный вредоносный домен, как раз и
использовался для того, чтобы названия доменов, содержащие достаточно
длинные текстовые строки (231 символ), были расшифрованы, и в них
выявлялись украденные номера кредитных карт. Как мы понимаем, учитывая
что DNS является стандартом де-факто для работы современной сети
интернет, корпоративной или ведомственной сети, заблокировать DNS мы не
можем и даже инспекция DNS на Firewall-е далеко не всегда нам помогает,
потому что в данном случае злоумышленники использовали нестандартный
подход, для того чтобы обойти средства защиты периметра.
Другой пример (рисунок 5.3.3).
Рисунок 5.3.3 – взлом через Wi-Fi
Это иллюстрация из системы мониторинга беспроводной сети компании
Cisco. Вы видите, на карте здания расположения легально установленных
точек доступа (зеленые кружки), но, обратите внимание, здесь мы видим, что
есть несанкционированно установленные беспроводные точки доступа
(красные кружки), а также беспроводные, несанкционированные чужие
клиенты, которые пытаются подключиться корпоративной беспроводной сети
77
(серые прямоугольники). Понятно, что данный способ подключения также
минует периметр, также не проходит через корпоративные Firewall-ы, и если
бы точки доступа были не защищены, то злоумышленники могли бы
проникнуть в корпоративную сеть минуя периметр, минуя NG Firewall-ы,
стоящие на этом самом периметре. Кроме того, если злоумышленник может
создать фальшивую точку доступа, то клиент, который подключился к точке
доступа, может даже об этом не знать, а злоумышленник при этом может
перехватывать данные, которые передаются с клиента. Это может быть
смартфон, это может быть планшет, ноутбук или даже стационарный
компьютер,
который
подключился
к
несанкционированной,
чужой,
фальшивой точке доступа, и в данном случае, к сожалению, Firewall-ы нам
тоже ничем не помогли.
Ещё пример (рисунок 5.3.4). После этого инцидента компания Cisco
существенно изменила архитектуру безопасности сетевого оборудования.
Были добавлены программно-аппаратные компоненты, которые позволяют
отслеживать закладки в оборудовании, а также предотвращать появление этих
закладок, но в начале двухтысячных годов такие примеры были.
Рисунок 5.3.4 – атака на оборудование Cisco
78
Их было несколько, которые удалось зафиксировать, и в данном случае
мы сталкиваемся с ситуацией, когда в рамках некой поставки заказчик
получает оборудование с уже предустановленным вредоносным кодом.
Поскольку он изначально доверяет своему поставщику, он не задумывается о
том, что надо проверить сетевое оборудование. Проверку можно осуществить
через программное обеспечение, которое заказчик может скачать с
официального сайта. Нужно это для того, чтобы убедиться, что в
оборудовании нет никаких закладок, и оно не крадёт информацию, которая
через сетевое устройство передаётся. Также было несколько случаев, когда
администраторы, не имея контракта на техническую поддержку на купленное
ими оборудование, вынуждены были скачивать новые прошивки со сторонних
сайтов. Это также приводило к тому, что в этих прошивках содержался
вредоносный код, который «зеркалировал» весь трафик и отправлял его
злоумышленнику. То есть в данном случае мы также понимаем, что
классические периметровые средства безопасности не могут ничего с этим
сделать,
потому
что
закладки
находятся
на
оборудовании,
стоящем перед межсетевыми экранами.
Можно вспомнить более свежий пример когда компания Cisco (ее
подразделение Cisco Talos) обнаружило угрозу под названием VPN-Filter,
когда злоумышленники заражали различные сетевые устройства различных
производителей (D-Link, Asus и так далее) и устанавливали на них
соответствующий
вредоносный
код,
который
также
крал
трафик
и
перенаправлял его злоумышленникам. То есть недооценка этой проблемы
приводит к тому, что у нас нижний уровень сетевой инфраструктуры остается
абсолютно не защищенным, и никакие Firewall-ы, разумеется, здесь не
помогают, так как сетевые устройства находятся до Firewall-ов, они и могут
передавать
весь
трафик,
особенно
если
он
не
зашифрованный,
злоумышленникам.
Ещё один пример. 2 года назад (в 2017 году) злоумышленники нашли
уязвимость на Web-портале одного из крупнейших кредитных бюро Equifax
79
(рисунок 5.3.5). Эта уязвимость позволила получить доступ к Web-порталу и
выполнять на нём некоторые команды. После идентификации уязвимости
злоумышленники запустили эксплоит и получили доступ к системе с
административными правами.
Рисунок 5.3.5 – взлом Equifax
Никаких данных украдено на тот момент ещё не было не было. То есть
злоумышленники только протестировали саму возможность работы на Webпортале с административными правами. А вот дальше спустя где-то 2 месяца
уязвимость, которая по каким-то причинам не была устранена, была
проэксплуатирована (рисунок 5.3.6).
80
Рисунок 5.3.6 – эксплуатация уязвимости Equifax
Злоумышленники проникли во внутренние системы кредитного бюро и
замаскировали свою деятельность от средств сетевой безопасности. Вопервых, за
счет доверительных отношений
между Web-порталом и
внутренними серверами, в том числе серверами баз данных, система защиты
никак не контролировала данные соединения и пропустила злоумышленника
внутрь корпоративной сети. Кроме того, злоумышленники использовали
зашифрованное соединение, и оно осталось бесконтрольным с точки зрения
средств сетевой безопасности. Злоумышленникам в течение нескольких
месяцев удавалось красть информацию в результате чего пострадало более 140
миллионов граждан США, Великобритании и ряда других стран, чьи данные
были украдены в результате данной атаки, несмотря на наличие средств
защиты периметра, которые, к сожалению, в данном случае никак не помогли.
Ещё пример (рисунок 5.3.7). Ещё один пример, произошедший в
прошлом 2018 году, когда в двухнедельный период между 21 августа и 5
сентября хакерская группа под названием Magic Art взломала сервера
авиакомпании British Airways, похитила данные 380 000 клиентов включая
персональные данные и данные кредитных карт. По данным British Airways
пострадало порядка полумиллиона клиентов за две недели.
81
Рисунок 5.3.7 – взлом British Airways
Самое интересное что злоумышленники даже не пытались проникнуть в
корпоративную сеть! Они взломали сайт авиакомпании, подменили скрипт,
который собирал данные клиентов, и переслали эти данные на вредоносный
ресурс, который контролировался злоумышленниками. Также в одной из
версий данного инцидента рассматривается, что злоумышленники взломали не
основной сайт British Airways, а его кэшированную копию (CDN,
используемый провайдерами связи для кэширования популярных ресурсов).
Таким образом, периметровые средства защиты никак не помогли защититься
от данной атаки.
Ещё одна атака, которую назвали «водопой» («water hole») (рисунок
5.3.8), которая была зафиксирована некоторое время назад американскими
правоохранительными органами. Зафиксировали атаки на ряд энергетических
компаний в Соединенных Штатах Америки, и в рамках расследования была
выявлена очень нестандартная схема, которая, однако, с тех пор стала
достаточно популярной.
82
Рисунок 5.3.8 - водопой
Почему она называется водопой? Если мы вспомним жизнь животных
(особенно животных Африки), то во время засухи многие животные приходят
на редкие водопои, которые не пересохли во время засухи, и природа делает
так, что животные не нападают друг на друга во время водопоя, но дело в том,
что как раз по дороге на водопой хищники очень часто подстерегают
животных и едят их для того, чтобы прокормить себя и свои прайды. Так вот,
злоумышленники
воспользовались
ровно
той
же
самое
стратегией.
Вместо того, чтобы ломать компании-жертвы, на которые они ориентируют
свои усилия, а таких компаний может быть много (единицы, десятки или даже
сотни), иногда достаточно взломать всего лишь одного производителя
программного обеспечения, с сайта которого затем все начинают скачивать
обновления программного обеспечения (новые прошивки, патчи, апдейты или
новые версии софта). Если взломали именно производителя, то дальше вместе
с этими обновлениями, которые скачиваются с его сайта, возможно
разместить в сети компании-жертвы ещё и вредоносный код, который затем
облегчает хакерам развитие плацдарма внутри уже скомпрометированной сети
жертвой. То есть таким окольным путем, но хакеры добились своей цели.
83
Такого рода атака была зафиксирована в 2016 году в Соединенных Штатах
Америки. После этого было несколько схожих сценариев. Буквально недавно
(в конце 2018 года) была зафиксирована атака на компанию Asus, которая со
своего сайта распространяла вредоносные обновления. Тоже самое делалось в
компании Avast, которая распространяла заражённую программу для
дефрагментации и оптимизации работы системы Windows под названием
CCleaner.
Эту
вредоносную
кампанию
зафиксировало
и
раскрыло
подразделение Cisco Talos в 2017 году.
Это всё примеры, когда далеко не всегда надо взламывать саму
компанию-жертву. Можно взломать организации, обслуживающие её, и за
счет
неких
доверительных
отношений
между
компанией-жертвой
и
компанией, которую взломали, все коммуникации между ними подвергаются
меньшему контролю, и этим активно пользуются злоумышленники.
Наконец, последний и один из самых свежих примеров (рисунок 5.3.9).
18 июня 2019 года аэрокосмическое агентство НАСА зафиксировала и
объявила о том, что во внутреннюю сеть одного из ее подразделений (одной из
её лаборатории) проникли хакеры ещё в апреле 2018 года. То есть они в
течение длительного времени оставались незамеченными и смогли украсть
более 500 МБ данных по миссии на Марс. Самое интересное, что произошло
это за счет внедрения аппаратного портативного компьютера Raspberry Pi,
который был установлен в сети НАСА и который крал информацию и
передавал ее наружу.
84
Рисунок 5.3.9 – взлом NASA
Вот эти все примеры очень хорошо демонстрирует, что даже наличие
очень мощных, хорошо спроектированных, грамотно спроектированных
систем защиты периметра не даёт гарантии, что злоумышленники не
проникнут.
Всё из-за того, что у них существует 17 каналов проникновения в нашу
организацию (рисунок 5.3.10), часть из которых мы уже посмотрели.
85
Рисунок 5.3.10 – 17 каналов проникновения
Есть часть каналов, которые остаются за рамками рассмотрения
(допустим, обычное VPN-соединение, либо site-to-site VPN с удалёнными
площадками, либо Remote Access VPN с удаленными пользователями), но в
случае наличия защищённого соединения по нему, помимо вполне легального
трафика, может проникнуть и внедриться во внутреннюю сеть компании.
USB-флешки, подброшенные на парковке перед входом в организацию, также
являются излюбленным инструментом, которым пользуются злоумышленники
для
того,
чтобы
информационной
обойти
безопасности
периметровые
или
средства
ведомственной
корпоративной
информационной
безопасности, потому что такого рода флешка, будучи воткнута в компьютер,
обходит все периметровые средства защиты. Остается надеяться только на то,
что на компьютере установлено нечто более современное, чем устаревший по
идеологии антивирус, который не видит никаких целевых атак, направленных
на организацию.
Ещё один пример, с которым столкнулась компания Cisco два года назад.
Генеральный директор крупной российской энергетической компании
«заразился» на своём домашнем ноутбуке вредоносным кодом WannaCry. Это
произошло в пятницу вечером, как раз когда WannaCry стал распространяться
86
по миру. В субботу утром директор привез на работу зараженный ноутбук. Ну
а куда его ещё привезти? Дома нет своих IT-специалистов, а на работе они
есть.
Пока эти специалисты, срочно вызванные генеральным директором,
ехали на работу, вредоносный код успел распространиться по корпоративной
сети, потому что генеральный директор подключил этот ноутбук к
корпоративной
сети.
Автоматом
он
подключился,
после
чего
даже
изолированная от внешнего мира корпоративная сеть пострадала от
WannaCry.
Понятно, что у компании Cisco может быть таких примеров ещё очень
много,
когда
какой-либо
высокопоставленный,
либо
облечённый
полномочиями сотрудник, руководитель, руководитель среднего или высшего
звена, приносит на работу домашнее устройство, которое по каким-то
причинам может быть заражено. Это может быть даже не только сотрудник.
Это может быть аудитор. Это может быть подрядчик, который приносит
такого рода устройство в рамках проведения неких регламентных работ на
защищаемой площадке. Например, в 2003 году именно из-за подрядчика,
который
подключил
свой
ноутбук
к
внутренней
сети
на
атомной
электростанции Davis–Besse в Соединенных Штатах Америки, произошло
заражение атомной электростанции червём Conficker, что привело к останову
реактора и веерным отключениям электроэнергии на всем восточном
побережье США.
Ещё один пример, когда не работают методы периметровой защиты —
это разработчики, которые занимаются DevOps-ом, у которых, как правило,
свои «правила игры», которые любят работать не на выдаваемых компанией
компьютерах, а на своих ноутбуках со своим программным обеспечением, на
которые не всегда можно поставить какие-то средства защиты, и это является
некой «точкой входа» в корпоративную сеть, либо внедрение закладок в
разрабатываемое в организации программное обеспечение.
87
Наконец, мы не должны забывать про облака. Если организация активно
использует облака, никакие корпоративные средства защиты периметра не
помогут. Необходимо расширять систему обеспечения безопасности за
пределы периметра и осуществлять мониторинг внутренней инфраструктуры.
Поможет в этом протокол NetFlow, который изначально разрабатывался
для траблшутинга, для анализа статистики сетевого трафика, но за счет своих
возможностей, особенно за счет расширенных возможностей, которые
существуют
в
девятой
версии
протокола
NetFlow,
либо
в
его
стандартизованной версией IPFIX, появляется возможность отвечать на
вопросы, которые интересуют инженеров с точки зрения информационной
безопасности (кто?, что?, когда?, как?, в каком объёме? осуществлял те или
иные взаимодействия). Затем, наложив на это соответствующие алгоритмы
принятия решений, появляется возможность делать выводы о наличии той или
иной угрозы, той или иной аномалии, которые могут быть интересны в
контексте информационной безопасности (рисунок 5.3.11).
Рисунок 5.3.11 – протокол Flow в работе
88
Одним из примеров решения, которые используют именно эту
конструкцию
для
цели
информационной
безопасности,
является
решение Cisco Stealthwatch (рисунок 5.3.12)
Рисунок 5.3.12 – Cisco Stealthwatch
Это решение, которое занимается анализом Flow-протоколов (не только
NetFlow). Это может быть sFlow, Jflow, IPFIX, NetStream — неважно. То есть
это решение будет работать не только на инфраструктуре Cisco, но и на
инфраструктуре
других
вендоров
(в
том
числе
даже
российских
производителей, которые поддерживают протокол с Flow) либо когда есть
возможность передавать трафик через PAN либо Airspan на решение Cisco
Stealthwatch, и за счет анализа существующей инфраструктуры возможно
выявлять те или иные аномалии, те или иные угрозы в корпоративной или
ведомственной сети.
Одним из ключевых отличий данного подхода от защиты периметра
является то, что администратору не надо ставить отдельные сенсоры,
отдельные краны в контролирующих местах сети в контрольных точках. Cisco
89
превращает
существующую
сетевую
инфраструктуру
в
такого
рода
распределенную систему мониторинга (рисунок 5.3.13).
Рисунок 5.3.13 – мониторинг в Cisco Stealthwatch
В своем минимальным варианте решение Cisco stealthwatch состоит из
двух компонентов — Flow Collector, который собирает данные от устройств,
поддерживающих Flow протоколы, и менеджмент консоль, которая отвечает
за управление, за визуализацию, за генерацию отчетов и так далее. В тех
случаях, когда по каким-то причинам устройство либо не поддерживает Flow,
либо поддержка включения Flow приводит к существенной загрузке
процессора, можно использовать так называемые «Flow сенсоры». Это
аппаратное либо виртуальное решение, которое пропускает через себя сетевой
трафик, транслирует его в NetFlow и передаёт на Flow Collector. Тем самым, к
Flow Sensor можно подключать чем подключать span port какого-то
оборудования, которое изначально не поддерживает Flow протокол и
обеспечивать полную и большую видимость внутренней сети, а не только её
периметра.
90
Помимо Flow sensors, существует ещё такой компонент как UDP
Direcrot, который позволяет эффективно обрабатывать данные с удалённых
площадок. Когда слабый интернет-канал между удаленными площадкой и
штаб-квартирой, но при этом надо передавать данные NetFlow, UDP Direcrot
осуществляет оптимизацию передачи такого трафика.
Помимо этого, компании Cisco разработала специальный протокол
nvzFlow, который позволяет интегрировать сетевую составляющую с хостовой
и за счет модуля Network Visibility модуль, который встроен в AnyConnect (это
программный защитный клиент, который устанавливается на Windows, Linux,
Mac OS, iOS, Android и так далее). Благодаря этому, появилась возможность
транслировать поведение узла, поведение приложений пользователей в
схожий с NetFlow протокол и осуществлять автоматическую корреляцию
события, которые происходят на узлах с событиями, которые происходят на
уровне сети, тем самым улучшая состояние мониторинга информационной
безопасности в корпоративной либо ведомственной сети.
Ещё одним из элементов который может отдавать данные на Flow
Collector является прокси-сервера и тем самым можно коррелировать данные
сетевого уровня, которые получаются после анализа NetFlow или иных Flow
протоколов и прикладного уровня, которые мы получаем от различных
прокси-серверов,
тем
самым
есть
возможность
фиксировать
работу
шифровальщиков, взаимодействие с командными серверами, работу сети
сетью Тор и так далее.
Для того чтобы собирать доказательства противоправной деятельности,
для того чтобы хранить их, проводить расследование, либо передавать в
правоохранительные органы решения Cisco Stealthwatch интегрируются с
компонентом Cisco Security Packet Analyzer, который как раз и сохраняет всю
необходимую
для
дальнейшего
расследования
и
взаимодействия
с
правоохранительными органами информацию.
Самое интересное что данное решение работает не только внутри
корпоративной/ведомственной сети, не только внутри ЦОДа, не только внутри
91
промышленной площадки (например, в АСУ ТП), но и также может работать
на различных облачных платформах, тем самым единое решение позволяет
увидеть разные участки корпоративной или ведомственное сети. Увидеть в
них аномалии, увидеть угрозой и соответствующим образом сигнализировать
и при необходимости блокировать эти угрозы, опираясь не только на то что
проходит через корпоративный периметр. Если замечается какая-то флешка,
незащищённый Wi-Fi, подброшенный Raspberry Pi в корпоративную сеть и так
далее, этого не увидит периметр. Это увидит Stealthwatch который
соответствующим образом мониторит все что проходит через сетевую
инфраструктуру. Как бы злоумышленниками маскировался он всегда будет
проходить через коммутаторы и маршрутизаторы, которые у нас размещены в
корпоративной или ведомственное сети. Он не может в принципе их миновать
и в этом случае работает Stealthwatch, который видит весь сетевой трафик и за
счет наложения большого количества различных алгоритмов, может выявлять
те или иные аномалии или угрозы (рисунок 5.3.14).
Рисунок 5.3.14 – внутренние нарушители
На рисунке 5.3.14 видно топ узлов, которые зафиксированы за
определенный интервал времени. Один из этих узлов имеет адрес 10.201.3.149.
92
Это рабочая станция. Она находится в группе пользовательских устройств.
Видно когда и какая активность происходил на этом узле. Видно какие
политики применяются к данному узлу. Видно что за пользователь работает
на данном узле, например за счет интеграции с Active directory. Таким
образом, мы знаем конкретного пользователя, конкретного сотрудника
организации, который работает в конкретный момент на данном хосте и это
позволяет более оперативно проводить расследование инцидентов. Но это
далеко не все что можно увидеть (рисунок 5.3.15).
Рисунок 5.3.15 – больше информации
Допустим
мы
видим
события
с
очень
высоким
уровнем
подозрительности, так называемый «Concern Index» и хотим получить более
подробную информацию о том, что скрывается за данным событием. Мы
хотим получить все ассоциированные соединения связанные с данной угрозой
утечки информации (рисунок 5.3.16).
93
Рисунок 5.3.16 - ассоциированные соединения
Сделав это, обнаружено, что внутренний нарушитель использует
протокол SSH для того чтобы захватить данные с внутренней корпоративной
сети. Обратите внимание, при том что с узла злоумышленника отправлено
всего около одного гигабайта данных получено более 160 ГБ данных. Вполне
возможно, что речь идет о злоумышленнике, который пытается захватить
данные до которых он успевает «дотянуться» и скачать их себе на компьютер.
Для чего? Для доступа к статистике HTTPS (рисунок 5.3.17).
94
Рисунок 5.3.17 – HTTPS
Здесь Stealthwatch также помогает. В данном случае, видно что хакер
«сливает» данные через HTTPS соединение куда-то на внешний узел. То есть,
возможно это действительно злоумышленник, который как если вспомнить
историю со Сноуденом, в начале скопировал к себе все данные, до которых
смог дотянуться, а потом он пытается их вынести за пределы компании. В
случае со Сноуденом, он это делал на внешних носителях вынося за пределы
контрольно-пропускного пункта. В случае с данным кейсом, злоумышленник
пытается «слить» данные через HTTPS наружу на какой-то командный сервер,
в облако или ещё куда-то.
Ещё один пример, как может помочь Cisco Stealthwatch. Например,
распространения черви или вредоносного кода внутри корпоративной сети
(рисунок 5.3.18).
95
Рисунок 5.3.18 – поиск червя
Обычно, для того чтобы зафиксировать это, необходимо иметь
агент/агентов на хосте. Там может быть антивирус. Это может быть решение
класса и EDR (endpoint detection and responseэто). Это может быть что-то иное,
что за счет анализа активности на узле выявляет действия вредоносного кода.
Но что делать если мы не можем устанавливать агенты на узлах (например,
эти агенты слишком «сжирают» мощности процессора, либо увеличивают
нагрузку на него, либо «сжирают» оперативную память)? Компьютер
тормозит и поэтому не хочется ставить на него никаких защитных агентов
(например в ЦОДе). Либо это сегмент на который вообще нельзя поставить
какие-то защитные агенты. Это может быть промышленный сегмент (АСУ
ТП), это может быть сегмент с операционными системами, для которых не
разработано защитных агентов. Причин может быть много. Иными словами,
при отсутствии хостовых средств защиты инженеры остаются слепы. У них
единственный источник данных для обнаружения вредоносных активности —
это сетевой трафик и здесь снова помогает Stealthwatch, который в данном
случае
зафиксировал
действия
вредоносного
96
кода.
Видны
события
сканирования узлов и в деталях по данному событию можно увидеть, что
данная активность присуща распространению червей по сети.
Это можно и визуализировать (рисунок 5.3.19).
Рисунок 5.3.19 – визуализация
Происходит визуализация и мы можем понять где была точка отсчета,
кто дальше попал под раздачу и быстро локализовать проблему, не давая ей
развиваться по нашей сети, не давая злоумышленником расширять
«плацдарм» в нашей корпоративной либо ведомственной сети. А что делать в
ситуациях
когда
злоумышленники
начинают
активно
использовать
шифрование, как например это было в случае с Equifax?
К сожалению, по статистике Cisco, злоумышленники за последний год в
3 раза увеличивают число вредоносных программ, которые используют для
своей деятельности, а точнее для её скрытия — шифрование. Из теории
известно, что «правильный» алгоритм шифрования не может быть взломан.
Для того чтобы понять что скрывается внутри зашифрованного трафика,
необходимо либо его расшифровывать зная ключ, либо попытаться
97
дешифровать его различными уловками, либо взломом в лоб, либо используя
какие-то уязвимости в криптографических протоколах.
На самом деле оказалось, что на практике существуют и другие методы
анализа
зашифрованного
трафика без
его
расшифровки.
Этот
метод
называется просто — «машинное обучение». Оказалось, что если на вход
специального классификатора подать очень большой объём различного
трафика, которые используются
злоумышленниками, и
обучить этот
классификатор распознавать такого рода вредоносное действие, даже внутри
зашифрованного трафика, который мы не можем расшифровать или
дешифровать,
система
с
очень
высокой
степенью
вероятности
может детектировать действия вредоносного кода внутри зашифрованного
трафика (рисунок 5.3.20).
Рисунок 5.3.20 – эффективность
Обратите внимание, точность обнаружения составляет 99,99 %. Ложные
срабатывания — это сотые доли процента. То есть, опираясь на анализ
телеметрии, которую компания Cisco получает с сетевого оборудования, даже
без каких-то криптографических преобразований, можно сказать что внутри
98
того или иного зашифрованного трафика скрывается вредоносная активность
и
это
позволяет
эффективнее
осуществлять
мониторинг
внутренней
инфраструктуры.
Сегодня многие компании, многие приложения-сервисы переходят на
протокол TLS 1.3, который нельзя изначально расшифровывать. То есть, он
специально спроектирован для того чтобы нельзя было делать даже легальный
Man In The Middle. Сделано это для обеспечения приватности данных
пользователей. Эта приватность пользователя, к сожалению, играет не на
руку, а против корпоративных служб безопасности, которые раньше (до TLS
1.3) еще могли делать расшифровку трафика на периметре с помощью тех или
иных SCAffolder-ов, то сейчас, к сожалению, это сделать уже невозможно. Но
технология, которая заложена в Cisco Stealthwatch под названием Encrypted
Traffic Analytics позволяет без расшифрования трафика понять что находится
внутри. Разумеется, никто не поймёт что там написано. Это невозможно.
Криптография здесь работает. Но можно понять тип этого трафика и если он
вредоносный, то принять соответствующие решения.
Вот как выглядит работа технологии Encrypted Traffic Analytics.
(рисунок 5.3.21).
99
Рисунок 5.3.21 - Encrypted Traffic Analytics
Видно, что осуществляется утечка информации (надпись «Exfiltration»
— утечка данных) с конкретного узла, за которым работает пользователь по
имени Роланда Торсиелло и видна пометка «Encrypted». Это означает —
трафик зашифрован. То есть, несмотря на наличие шифрования, всё равно
возможно зафиксировать факт утечки информации, то есть нанесение ущерба
корпоративному ресурсу.
Хочется отметить, что у решения Cisco Stealthwatch есть ряд очень
важных особенностей. Важных преимуществ (рисунок 5.3.22).
100
Рисунок 5.3.22 – преимущества Cisco Stealthwatch
•
Во-первых, это возможность анализа зашифрованного трафика,
что в последнее время становится очень важной функцией для средства
обеспечения информационной безопасности.
•
Во-вторых,
это защита
сделанных
инвестиций в
сетевую
инфраструктуру. Cisco не только имеем сетевую инфраструктуру,
которую передаёт трафик из точки А в точку Б, Cisco превращает ее в
распределенную систему обнаружения атак.
•
Данная система не требует перестройки сети. Не надо ставить
новые железки внутрь корпоративной сети, не надо переконвертировать
трафик, менять его адресацию и так далее. С существующей
инфраструктурой идёт сборка Flow и начинается анализ его на предмет
тех или иных аномалий или угроз.
•
И самое интересное. Несмотря на то, что решение Cisco
Stealthwatch разработано и предлагается компанией Cisco, в основе сети
которую необходимо защитить, может быть не только инфраструктура
компании Cisco, но и структуры различных других производителей. В
данном случае, Cisco Vendor Agnostic (производитель система защиты).
Не важно что «лежит» в основе. Это может быть Cisco, это может быть
101
Huawei, это может быть Juniper, 3com, Hewlett, это может быть
российские производители типа Полигон, Русьтелетех, Zelax, Натекс и
так далее. Любую сетевую инфраструктуру, которая поддерживает
либо протоколы Flow, либо SPAN/RSPAN возможно превратить в
распределенную систему обнаружения атак.
После того как была зафиксирована какая-то вредоносная активность
возникает вопрос: «А как ее заблокировать?» (рисунок 5.3.23).
Рисунок 5.3.23 – предотвращение атаки
В этом случае очень хорошо подходит решение Cisco ISE (Identity
Services
Engine)
(рисунок
5.3.24),
которая
превращает
сетевую
инфраструктуру, которую уже превратилась в распределенную систему
обнаружения атак, Cisco ISE превращает её в распределенный межсетевой
экран. Это когда каждый коммутатор, каждый маршрутизатор, каждая точка
доступа используется в качестве точки принятия решения — «пускать или не
пускать?»,
«пускать
пользователя?»,
«пускать
устройство?»,
«пускать
приложение?» к запрошенному ресурсу. Cisco ISE превращает существующую
инфраструктуру (причём не только происхождения Cisco, это можно делать на
102
других вендорах) в распределенный межсетевой экран. Если на периметре
обычно используется NG Firewall-ы (например Cisco FirePower) и NGIPS
(например Cisco Firepower IPS), то во внутренней сети можно использовать
связку Cisco Stealthwatch и Cisco ISE.
Рисунок 5.3.24 - Cisco ISE
***
6. Создание примера безопасной сети.
6.1 Сценарий.
103
Рисунок 6.1.1 – Сеть компании
В компании есть один пункт, подключенный к ISP. Маршрутизатор R1
представляет собой конечное устройство (CPE) под управлением ISP. R2 – это
промежуточный
интернет-маршрутизатор.
R3
–
это
поставщик
ISP,
подключающий компьютер администратора из компании управления сетью,
который был нанят на работу для дистанционного управления вашей сетью.
ASA
–
это
граничное
устройство
безопасности,
подключающее
внутрикорпоративную сеть и DMZ к ISP и одновременно предоставляющее
сервисы NAT и DHCP внутренним хостам. Для маршрутизаторов и
коммутаторов предварительно настроены базовые параметры устройств, такие
как IP-адресация и маршрутизация. С помощью интерфейса командной строки
(CLI)
необходимо
настроить
различные
функции
IOS,
связанные
с
безопасностью, включая AAA, SSH и зональный межсетевой экран (ZPF), для
защиты маршрутизаторов. Помимо прочего, будет настроена сеть site-to-site
VPN (VPN между двумя пунктами) между маршрутизаторами R1 и R3 и
обеспечена безопасность коммутаторов в сети.
104
***
6.2 Таблица адресации.
Устройство
Интерфейс
IP-адрес
Маска подсети
Шлюз по умолчанию
G0/0
209.165.200.233
255.255.255.248
Н/П
S0/0/0 (DCE)
10.10.10.1
255.255.255.252
Н/П
Loopback 1
172.20.1.1
255.255.255.0
Н/П
S0/0/0
10.10.10.2
255.255.255.252
Н/П
S0/0/1 (DCE)
10.20.20.2
255.255.255.252
Н/П
G0/1
172.30.3.1
255.255.255.0
Н/П
S0/0/1
10.20.20.1
255.255.255.252
Н/П
S1
VLAN 1
192.168.10.11
255.255.255.0
192.168.10.1
S2
VLAN 1
192.168.10.12
255.255.255.0
192.168.10.1
S3
VLAN 1
172.30.3.11
255.255.255.0
172.30.3.1
VLAN 1 (E0/1)
192.168.10.1
255.255.255.0
Н/П
VLAN 2 (E0/0)
209.165.200.234
255.255.255.248
Н/П
PC-A
NIC
192.168.10.2
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-C
NIC
172.30.3.3
255.255.255.0
172.30.3.1
R1
R2
R3
ASA
***
6.3 Задачи.
•
Настройка базового уровня безопасности маршрутизатора
•
Настройка базового уровня безопасности коммутатора
•
Настройка локальной аутентификации AAA
•
Настройка SSH
•
Защита от атак методом подбора учетных данных
•
Настройка сетей site-to-site IPsec VPN
•
Настройка параметров
предотвращения вторжений (IPS)
межсетевого
105
экрана
и
системы
•
Настройка базовых параметров безопасности ASA и межсетевого
экрана
***
6.4 Пошаговая настройка (планирование).
Настройка базового уровня безопасности маршрутизатора
•
Настройка маршрутизатора R1 следующим образом.
o Минимальная длина пароля составляет 10 символов.
o Шифрование паролей, заданных в виде открытого текста.
o Пароль для привилегированного режима – ciscoenapa55.
o Пароль для линий консоли – ciscoconpa55, время ожидания –
15 минут, сообщения консоли не должны прерывать ввод
команд.
o Баннер с сообщением дня (MOTD) должен содержать слово
unauthorized.
•
Настройка маршрутизатора R2 следующим образом.
o Пароль для привилегированного режима – ciscoenapa55.
o Пароль для линий VTY – ciscovtypa55, время ожидания – 15
минут, требуются учетные данные для входа в систему.
Настройка базового уровня безопасности коммутатора
•
Настройка коммутатора S1 следующим образом.
o Шифрование паролей, заданных в виде открытого текста.
o Пароль для привилегированного режима – ciscoenapa55.
o Пароль для линий консоли – ciscoconpa55, время ожидания –
5 минут, сообщения консоли не должны прерывать ввод
команд.
o Пароль для линий VTY – ciscovtypa55, время ожидания – 5
минут, требуются учетные данные для входа в систему.
106
o Баннер с сообщением дня (MOTD) должен содержать слово
unauthorized.
•
Настройте транкинг между коммутаторами S1 и S2 со
следующими параметрами.
o Установка режима trunk и назначение VLAN 99 в качестве
нативной (native) VLAN.
•
o Отключение генерацию кадров DTP.
Настройка для коммутатора S1 следующие параметры портов.
o F0/6 должен разрешать только режим доступа, задать
PortFast и включить функцию BPDU Guard.
o F0/6 использует базовый уровень безопасности порта по
умолчанию с динамически получаемыми MAC-адресами,
которые добавляются в текущую конфигурацию.
o Все остальные порты должны быть отключены.
Настройка локальной аутентификации AAA
•
Настройте маршрутизатор R1 следующим образом.
o Создать учетную запись локального пользователя Admin01,
секретный пароль Admin01pa55, уровень привилегий 15.
o Включите сервисы AAA.
o Разверните сервисы AAA, используя локальную базу
данных в качестве первого варианта, а затем пароль enable в
качестве резервного варианта.
Настройка SSH
•
Настройка маршрутизатора R1 следующим образом.
o Доменное имя – ccnasecurity.com.
o Ключ RSA должен содержать 1024 бита.
o Допускается только протокол SSH версии 2.
107
o На линиях VTY разрешается использовать только протокол
SSH.
Защита от атак методом подбора учетных данных
•
Настройка маршрутизатора R1 следующим образом.
o Если пользователю не удается войти в систему дважды за
временной промежуток в 30 секунд, необходимо отключить
возможность входа на одну минуту.
o Регистрирование в журнале все неудачные попытки входа в
систему.
Настройка сетей site-to-site IPsec VPN
•
Активировать лицензию Security Technology Package на
маршрутизаторе R1.
•
o Сохранить текущую конфигурацию перед перезагрузкой.
Настройка маршрутизатора R1 следующим образом.
o Создать список доступа для выявления «интересного»
трафика на маршрутизаторе R1.
o Настроить список ACL 101 для разрешения трафика из сети
R1 Lo1 в локальную сеть R3 G0/1.
•
Настройка свойства crypto isakmp policy 10 для фазы 1 на
маршрутизаторе R1 и общий ключ шифрования ciscovpnpa55.
Использовать следующие параметры.
o Метод распределения ключей: ISAKMP
o Шифрование: aes 256
o Хеш: sha
o Метод аутентификации: pre-shared
o Обмен ключами: DH Group 5
o Время жизни IKE SA: 3600
o Ключ ISAKMP: ciscovpnpa55
108
•
Создать набор преобразований VPN-SET для использования
esp-aes 256 и esp-sha-hmac. Затем создать криптографическую
карту CMAP, связывающую друг с другом все параметры фазы
2. Использовать порядковый номер 10 и определи его как карту
ipsec-isakmp. Использовать следующие параметры.
o Набор преобразований: VPN-SET
o Шифрование преобразований: esp-aes 256
o Аутентификация преобразований: esp-sha-hmac
o Perfect Forward Secrecy (PFS): group5
o Имя криптографической карты: CMAP
o Установление SA: ipsec-isakmp
o Привязать криптографическую карту (CMAP) к исходящему
интерфейсу.
Настройка параметров межсетевого экрана и системы предотвращения
вторжений (IPS)
•
Настройка ZPF на маршрутизаторе R3 в соответствии со
следующими требованиями.
o Создать зоны под названиями IN-ZONE и OUT-ZONE.
o Создать список ACL с номером 110, определяющий
внутренний трафик и разрешающий все IP-протоколы из
исходной
сети
172.30.3.0/24
с
любым (any)
местом
назначения.
•
Создать карту классов с именем INTERNAL-CLASS-MAP,
которая использует параметр match-all и список ACL 110.
•
Создать карту политик с именем IN-2-OUT-PMAP, которая
использует
карту
классов
INTERNAL-CLASS-MAP
инспектирования (inspect) всего соответствующего трафика.
109
для
•
Создать пару зон с именем IN-2-OUT-ZPAIR, которая
определяет IN-ZONE как зону источника и OUT-ZONE как зону
назначения.
o Указать, что карта политик IN-2-OUT-PMAP должна
использоваться для инспектирования (inspect) трафика
между двумя зонами.
o Назначить G0/1 в качестве члена IN-ZONE, а S0/0/1 – в
качестве члена OUT-ZONE.
•
Настроить
систему
защиты
от
вторжений
(IPS)
на
маршрутизаторе R3, используя следующие требования.
o Создать каталог во флеш-памяти с именем ipsdir и задать его
в качестве расположения для хранения сигнатур IPS.
o Создать правило IPS с именем IPS-RULE.
o Вывести из использования категорию сигнатур all с
помощью команды retired true (все сигнатуры в выпуске
сигнатур).
o Вернуть в использование категорию IOS_IPS Basic с
помощью команды retired false.
o Применить правило inbound на интерфейсе S0/0/1.
Настройка базовых параметров безопасности ASA и межсетевого экрана
•
Настроить следующие параметры для интерфейсов VLAN.
o Для интерфейса VLAN 1 настроить использование адресов
192.168.10.1/24.
o Для интерфейса VLAN 2 удалить параметр DHCP по
умолчанию
и
настроить
использование
адресов
209.165.200.234/29.
•
Настроить
имя
хоста,
доменное
имя,
пароль
привилегированного доступа и пароль консоли с помощью
следующих параметров.
110
o Имя хоста ASA – CCNAS-ASA.
o Доменное имя – ccnasecurity.com.
•
o Пароль привилегированного доступа – ciscoenapa55.
Создать пользователя и настроить для AAA использование
локальной базы данных для удаленной аутентификации.
o Настроить учетную запись локального пользователя с
именем admin и паролем adminpa55. Не использовать
атрибут encrypted.
o Настроить AAA на использование локальной базы данных
ASA для аутентификации пользователя по протоколу SSH.
o Разрешить SSH-доступ с внешнего хоста 172.30.3.3 со
временем ожидания 10 минут.
•
Настроить
ASA
в
качестве
DHCP-сервера
с
помощью
следующих параметров.
o Назначить
IP-адреса
внутренним
клиентам
DHCP
в
диапазоне от 192.168.10.5 до 192.168.10.30.
•
o Разрешите для DHCP ожидание запросов клиента DHCP.
Настроить статическую маршрутизацию и NAT.
o Создать статический маршрут по умолчанию по IP-адресу
маршрутизатора на следующем транзитном участке (R1).
o Создать сетевой объект с именем inside-net и назначьте ему
атрибуты с помощью команд subnet и nat.
o Создать динамическое преобразование NAT для внешнего
интерфейса.
•
Изменить модульную систему политик Cisco Modular Policy
Framework (MPF) на ASA с помощью следующих параметров.
o Установить для параметра class-map inspection_default
значение match default-inspection-traffic и перейти в режим
глобальной настройки.
111
o Настроить список policy-map с global_policy. Введите class
inspection_default и ввести команду inspect icmp. Затем
перейти в режим глобальной настройки.
o Настройте политику MPF service-policy, чтобы политика
global_policy применялась глобально.
***
6.5 Пошаговые скрипты.
!------------------------------!Настройка базового уровня безопасности маршрутизатора
!------------------------------!R1
conf t
security passwords min-length 10
enable secret ciscoenapa55
service password-encryption
line console 0
password ciscoconpa55
exec-timeout 15 0
login
logging synchronous
banner motd $Unauthorized access strictly prohibited and prosecuted to the full extent of the law!$
end
!R2
conf t
enable secret ciscoenapa55
line vty 0 4
password ciscovtypa55
exec-timeout 15 0
login
end
!-------------------------
112
!Настройка безопасности коммутатора
!------------------------!S1
conf t
service password-encryption
enable secret ciscoenapa55
line console 0
password ciscoconpa55
exec-timeout 5 0
login
logging synchronous
line vty 0 15
password ciscovtypa55
exec-timeout 5 0
login
banner motd $Unauthorized access strictly prohibited and prosecuted to the full extent of the law!$
end
!Транкинг
!S1 и S2
conf t
interface FastEthernet 0/1
switchport mode trunk
switchport trunk native vlan 99
switchport nonegotiate
end
!Безопасность порта S1
conf t
interface FastEthernet 0/6
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
shutdown
switchport port-security
switchport port-security mac-address sticky
no shutdown
113
interface range f0/2 – 5 , f0/7 – 24 , g0/1 - 2
shutdown
end
!---------------------------------!Настройка локальной аутентификации AAA
!---------------------------------!R1
conf t
username Admin01 privilege 15 secret Admin01pa55
aaa new-model
aaa authentication login default local enable
end
!------------------------!Настройка SSH
!------------------------!R1
conf t
ip domain-name ccnasecurity.com
crypto key generate rsa
1024
ip ssh version 2
line vty 0 4
transport input ssh
end
!---------------------------!Защита от атак методом подбора учетных данных
!---------------------------!R1
conf t
login block-for 60 attempts 2 within 30
login on-failure log
!--------------------------------!Настройка сетей site-to-site IPsec VPN
114
!--------------------------------!R1
conf t
access-list 101 permit ip 172.20.1.0 0.0.0.255 172.30.3.0 0.0.0.255
crypto isakmp policy 10
encryption aes 256
authentication pre-share
hash sha
group 5
lifetime 3600
exit
crypto isakmp key ciscovpnpa55 address 10.20.20.1
crypto ipsec transform-set VPN-SET esp-aes 256 esp-sha-hmac
crypto map CMAP 10 ipsec-isakmp
set peer 10.20.20.1
set pfs group5
set transform-set VPN-SET
match address 101
exit
interface S0/0/0
crypto map CMAP
end
!R3
conf t
access-list 101 permit ip 172.30.3.0 0.0.0.255 172.20.1.0 0.0.0.255
crypto isakmp policy 10
encryption aes 256
authentication pre-share
hash sha
group 5
lifetime 3600
exit
crypto isakmp key ciscovpnpa55 address 10.10.10.1
crypto ipsec transform-set VPN-SET esp-aes 256 esp-sha-hmac
crypto map CMAP 10 ipsec-isakmp
set peer 10.10.10.1
115
set transform-set VPN-SET
match address 101
exit
interface S0/0/1
crypto map CMAP
end
!----------------------------------!Настройка параметров межсетевого экрана и системы предотвращения вторжений
(IPS)
!----------------------------------!R3
conf t
!Конфигурации межсетевого экрана
zone security IN-ZONE
zone security OUT-ZONE
access-list 110 permit ip 172.30.3.0 0.0.0.255 any
access-list 110 deny ip any any
class-map type inspect match-all INTERNAL-CLASS-MAP
match access-group 110
exit
policy-map type inspect IN-2-OUT-PMAP
class type inspect INTERNAL-CLASS-MAP
inspect
zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE
service-policy type inspect IN-2-OUT-PMAP
exit
interface g0/1
zone-member security IN-ZONE
exit
interface s0/0/1
zone-member security OUT-ZONE
end
!Конфигурации IPS
mkdir ipsdir
conf t
116
ip ips config location flash:ipsdir
ip ips name IPS-RULE
ip ips signature-category
category all
retired true
exit
category ios_ips basic
retired false
exit
exit
<Enter>
interface s0/0/1
ip ips IPS-RULE in
!-------------------------------------------------!Настройка базовых параметров безопасности ASA и межсетевого экрана
!-------------------------------------------------!CCNAS-ASA
enable
<Enter>
conf t
interface vlan 1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
interface vlan 2
nameif outside
security-level 0
no ip address dhcp
ip address 209.165.200.234 255.255.255.248
exit
hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password ciscoenapa55
username admin password adminpa55
aaa authentication ssh console LOCAL
ssh 192.168.10.0 255.255.255.0 inside
117
ssh 172.30.3.3 255.255.255.255 outside
ssh timeout 10
dhcpd address 192.168.10.5-192.168.10.30 inside
dhcpd enable inside
route outside 0.0.0.0 0.0.0.0 209.165.200.233
object network inside-net
subnet 192.168.10.0 255.255.255.0
nat (inside,outside) dynamic interface
exit
conf t
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
service-policy global_policy global
***
6.6 Точки входа в сеть.
Для анализа уязвимостей сети целесообразнее всего использовать
подход поиска точек входа в сеть. Наша сеть состоит из двух частей –
внутренней (зелёное) и внешней (оранжевое). Точки входа обозначены
красными треугольниками (см. рисунок 6.6.1).
118
Рисунок 6.6.1 – Сеть компании
Все уязвимости находятся на двух глобальных местах – на машинах
работников и на стыках сетей (вокруг Cisco ASA). Если точки входа в сеть
вокруг ASA можно сразу отметать из-за выставленной защиты портов, то
уязвимости машин и возможные атаки изнутри сети стоит проверить на 17
выявленных уязвимостей. Представить это легче всего в виде таблицы.
Таблица 6.6.1 – 17 уязвимостей в построенной сети.
Уязвимость
Атака
Защита
Уровень
опасности
E-mail
Web
Site-to-Site
VPN
Спам рассылка
DLP-система
Подмена сайта
Через сайт не
компании
проводятся транзакции
Вброс эксплойта
Написание
собственной системы
119
Низкий
Низкий
Средний
VPN
Remote Access Вброс эксплойта или
VPN
Sharing
resources
USB
подмена адресов
Вброс эксплойта
Вброс эксплойта
Вброс эксплойта через
Wi-Fi
подмену сети
(PineApple)
Warez
BYOD
Закрытый доступ к
сети
Физический контроль
доступа
Отсутствие Wi-Fi
подключений
Физический контроль
записей
доступа
Подмена устройств
(например, Raspberry
Pi)
Клиентсервер с
сети
Изменение учётных
Встраивание системы
Embedded
Закрытый доступ к
Физический контроль
доступа
Физический контроль
доступа и малая сеть
Вброс эксплойта
собственной системы
Высокий
Низкий
Высокий
Высокий
Низкий
Средний
VPN
Физический контроль
DevOps
Вброс эксплойта
Подрядчик
Вброс эксплойта
Уязвимость
Перенаправление с
Через сайт не
на портале
целью кражи данных
проводятся транзакции
DNS
Низкий
Написание
шифрованием
Водопой
Низкий
доступа
Физический контроль
доступа
Общая точка с вбросом Нет общих точек
эксплойта
клиентов и работников
Подмена имён сайтов
Свой DNS
120
Высокий
Высокий
Низкий
Низкий
Средний
Облако
Физический контроль
Вброс эксплойта
доступа
Высокий
***
6.7 Статистический анализ.
Для углубления разбора таблицы из пункта 6.6, приведу несколько
статистических сводок от компании Cisco.
Рисунок 6.7.1 – Активность блоков на базе вредоносного ПО по типу
контента, апрель 2016 г. – октябрь 2017 г.
121
Рисунок 6.7.2 – Активность блоков на базе вредоносного ПО по типу
контента, октябрь 2014 г. – октябрь 2017 г.
На рисунках 6.7.1 и 6.7.2 видна динами развития эксплойтов. Если в
2014 – 2017 годах использовались уязвимости через JavaScript, двоичный код
и APK, то уже в 2016 – 2017 годах тенденция перешла на HTML, текстовые
файлы и исполняемые файлы. Скорее всего это связано с увеличением числа
программистов на языках Python и Java. Атаки стали более скрытными и с
меньшим числом эксплойтов.
122
Рисунок 6.7.3 – Обзор «слепых зон» инфраструктуры в различных
отраслях.
На рисунке 6.7.3 видно, что большинство слепых зон – это носимая
электроника и неизвестные части сети. Таким образом главная задача
специалиста по безопасности сетей – уменьшить число активных устройств в
контуре компании.
Рисунок 6.7.4 – Наиболее сложные для защиты области: мобильные
устройства и данные в облаке.
123
Ещё одним серьёзным изменением стал мобильны рынок устройств.
Носимая электроника стала куда более сложной, чем ранее, что в следствии
привело к опасному возрастанию числа атак через эти устройства.
Рисунок 6.7.5 – По мере увеличения количества поставщиков
повышается сложность управления оповещениями безопасности.
Усложнились и отношения с компаниями-вендорами, что показано на
рисунке 6.7.5. По мере увеличения количества поставщиков повышается
сложность управления оповещениями безопасности. Таким образом ещё
одной задачей становится уменьшение числа компаний-партнёров.
124
ЗАКЛЮЧЕНИЕ
Проанализировав все уровни защиты пользователя, удалось выявить ряд
правил и советов для каждой группы защиты.
•
Советы для защиты граждан
1. Всегда помнить, что сеть – анонимное пространство и
доверять можно только тем, в ком пользователь уверен.
2. Помнить, что всё, что попадает в сеть – остаётся в ней
навсегда.
3. Закрывать порты и не давать доступ к личным устройствам.
4. Оберегать детей от опасности в Интернете, путём привития
им компьютерной грамотности, а не ограждением ребёнка
от персонального компьютера.
•
Давать советы государству я не могу и не считаю необходимым.
Единственное, что хотелось бы сказать по данному вопросу – я хотел бы
выразить свои желание и надежду на то, что в случае принятия тех или иных
законов в сфере IT, они будут выполняться высококвалифицированными
специалистами для полной защиты граждан страны.
•
Советы для компаний не в IT
1. Не стоит пытаться полагаться только на себя и силы своей
команды. Иногда, стоит обратиться к профессионалам в
своём деле – компания-вендорам. Таким образом вы
обезопасите себя и уменьшите материальные риски.
2. Заботиться не только о физическом взаимодействии с
клиентом, но и с виртуальным.
3. Давать очень ограниченный доступ к серверам компании.
4. Помнить про 17 уязвимостей и никогда не забывать про них.
•
Советы для компаний в IT
125
1. Не
ограничиваться
только
периметром
безопасности.
Обезопасить внутреннюю сеть компании.
2. Использовать Flow-протоколы.
3. Собирать максимум информации как об отражённых атаках,
так и неотражённых.
4. Контроль доступа. Обычная USB-флешка сможет полностью
разрушить систему защиты.
5. Автоматизировать процессы.
6. Уменьшить число активных устройств.
7. Уменьшить число компаний-партнёров.
8. Помнить о том, что обезопасить себя на 100% невозможно,
поэтому всегда делать физические копии информации без
стороннего доступа к ним.
126
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1.
Александра Посыпкина, Евгения Баленко «Профиль в цифрах: как
будет работать база данных о россиянах в 2023 году» 2018 г. –
https://www.rbc.ru/technology_and_media/20/09/2018/5ba262ef9a7947c2ab193522
2.
«Архитектура интернета вещей»; Перри Ли; ДМК Пресс, 2018
3.
Дмитрий Хапаев «Как узнать, какие данные собирает о вас гугл ...»
2018 г. – https://lifehacker.ru/slezhka-google/
4.
«Защита детей от вредной информации в сети интернет». –
http://www.internet-kontrol.ru/
5.
«Интернет вещей. Будущее уже здесь»; Сэмюэл Грингард;
Альпинапаблишер, 2018.
6.
Ирина Чернова «15 фишек для сбора информации о человеке в
интернете» 2016 г. – https://www.iphones.ru/iNotes/533552
7.
«Как информация управляет миром и определяет историю нашей
вселенной и живущих в ней видов»; Сезар Идальго; Civiliзация, 2016.
8.
«Подпольный Интернет. Тёмная сторона мировой паутины»;
Джейми Бартлетт; Civiliзация, 2017.
9.
Наталья Игнатова «Ваш цифровой портрет а сети» 2015 г. –
https://geekbrains.ru/posts/digital_portrait
10.
«Openstack. Практическое знакомство с облачной операционной
системой»; Андрей Маркелов; ДМК Пресс, 2018.
11.
Отчёт компании Cisco: «Отчет за 2020 г. с результатами
глобального опроса директоров по информационной безопасности» 2020 год
12.
Отчёт компании Cisco: «Отчет по кибербезопасности для малого и
среднего бизнеса» 2020 год
13.
Отчёт компании Cisco: «Годовой отчет Cisco по безопасности за
2015 год» 2015 год
14.
Отчёт компании Cisco: «Годовой отчет Cisco по безопасности за
2016 год» 2016 год
127
15.
Отчёт
компании
Cisco:
«Годовой
отчет
Cisco
по
кибербезопасности за 2017 год» 2017 год
16.
Отчёт компании Cisco: «Годовой отчет по кибербезопасности за
2018 год» 2018 год
17.
Отчёт компании Cisco: «Вредоносные ссылки в электронных
письмах. Как защититься от фишинга, кибермошенничества и других угроз»
2019 год
18.
«Cisco CCNA. Маршрутизация и коммутация ICND2 200-101
(Официальное руководство)», издательство «Вильямс», Уэнделл Одом, 2015
год
19.
«Аудит безопасности информационных систем» издательство
«Питер», Никита Скробцов, 2018 год.
20.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов, М.В. Карбаинова.
«АНАЛИЗ СОЦИАЛЬНЫХ УГРОЗ В ЦИФРОВОМ ПРОСТРАНСТВЕ ДЛЯ
РЕБЁНКА» ISSN 2311-2158. The Way of Science. 2019. № 8 (66)
21.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов, М.В. Карбаинова.
«ANALYSIS OF SOCIAL THREATS IN DIGITAL SPACE FOR A CHILD»
ISSN 2311-2158. The Way of Science. 2019. № 8 (66)
22.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов. «ПРЕДОТВРАЩЕНИЕ
УТЕЧЕК
КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
ИЗ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ВОВНЕ» ISSN 2311-2158. The Way of
Science. 2019. № 8 (66)
23.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов. «PREVENTION OF
SECURITY LEAKAGE FROM THE INFORMATION SYSTEM OUTWARDS»
ISSN 2311-2158. The Way of Science. 2019. № 8 (66)
24.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов. «ТЕХНИЧЕСКИЙ
АСПЕКТ ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ В РАМКАХ
ПОЛИТИКИ РАЗНЫХ ГОСУДАРСТВ» ISSN 2311-2158. The Way of Science.
2019. № 8 (66)
128
25.
В.В. Линьков, И.Ю. Грунин, С.С. Дубов. «TECHNICAL ASPECT
OF ENSURING NATIONAL SECURITY WITHIN THE FRAMEWORK OF
POLITICS OF DIFFERENT STATES» ISSN 2311-2158. The Way of Science.
2019. № 8 (66)
26.
Дубов С.С., Линьков В.В., Карбаинова М.А. « Child’s information
security in digital space of the Russian Federation». Российский технологический
журнал. 2019;7(4)
27.
Дубов С.С., Линьков В.В., Карбаинова М.А. «Информационная
безопасность ребенка в цифровом пространстве Российской Федерации».
Russian Technological Journal. 2019;7(4)
28.
Валерий Линьков. «Всё об IP адресах и о том, как с ними
работать». Автоматизированная информационная система, доступная в сети
Интернет по сетевым адресам в домене (включая поддомены) habr.com. 2018
год.
29.
Валерий Линьков. «Беспроводные локальные сети или как
работает Wi-Fi по стандарту IEEE 802.11. Лабораторная работа в Packet
Tracer». Автоматизированная информационная система, доступная в сети
Интернет по сетевым адресам в домене (включая поддомены) habr.com. 2018
год.
30.
Валерий Линьков. «17 способов проникновения во внутреннюю
сеть компании». Автоматизированная информационная система, доступная в
сети Интернет по сетевым адресам в домене (включая поддомены) habr.com.
2019 год.
129
Отзывы:
Авторизуйтесь, чтобы оставить отзыв