№ 6(24) 2009
Круглый стол «Безопасный Интернет — неужели такое возможно?»
29 сентября 2009 г. в Москве в рамках VI Международной специализированной выставки-конференции по информационной безопасности InfoSecurity Moscow — 2009 прошел круглый стол «Безопасный Интернет — неужели такое возможно?».
0
1
S
S
s
£
g
а &
Л
>s S
55
сз с о
В круглом столе приняли участие представители российских компаний-лидеров в области предоставления услуг информационной безопасности
£
Ведущими круглого стола выступили руководитель Департамента информационной безопасности компании «Вымпел-Коммуникации» Дмитрий Устюжанин и руководитель Информационно-аналитической службы Межрегиональной общественной организации «Информация для всех» Евгений Альтовский.
Открывая мероприятие, Дмитрий Устюжанин отметил: «Сейчас многие уже не понимают, как жили без Интернета десять лет назад. Хотелось бы сосредоточиться сегодня не на проблемах крупных компаний, которые имеют возможность себя защитить, не на проблемах защиты от взлома конкретных сайтов,
54
№ 6(24) 2009
а на проблемах общечеловеческих, на взаимоотношениях общества с Интернетом и роли профессионалов в области информационной безопасности в этих взаимоотношениях. Сейчас Интернетом пронизано все. Например, «ВымпелКом» на сегодняшний день— уже не просто оператор мобильной связи, мы также выступаем в различных ипостасях, связанных с Интернетом. Изучая тему детей в Интернете, мы вдруг поняли, что никто не спросил главных участников процесса — родителей и детей — о том, что они сами думают об Интернете, о безопасности в нем. Были проведены специальные исследования медиа-поля? Результатом которых стал огромный вал публикаций (6000 за 2 года), посвященных тому, чем опасен Интернет именно для детей (т. е. рассматривается только одна компонента безопасного Интернета). Ведутся масштабные дискуссии, и при этом никто не спросил родителей, как проблема выглядит в их глазах.
Понятно, что от Интернета гораздо больше пользы, чем вреда. Наша задача — понять, можем ли мы избежать его, помочь людям разобраться. Основные угрозы для детей — это, конечно, нежелательный контент, демонстрация насилия, мошенничество и «развод на деньги».
Безопасность входит в число базовых потребностей человека. После того, как он себя накормил и обеспечил жильем, следующий компонент комфортного существования— это именно безопасность. Тем не менее, большинство людей предпочитают жить с позитивной позиции — спокойно, уверенно, не задумываясь на эту тему. Конечно мы, как профессионалы, должны им в этом помочь. Однако определенная культура безопасности в головах людей, конечно, должна быть заложена.
Директор по развитию бизнеса российской компании «Positive Technologies» Борис Симис рассказал о вкладе фирмы в обеспечение глобальной информационной безопасности: «Positive Technologies» специализируется на анализе уязвимостей в программном обеспечении. Компания достаточно долго выпускает продукты для автоматизированного анализа уязвимостей и определения рекомендаций по их устранению. Я хотел бы изложить
профессиональный взгляд на проблему безопасного Интернета, исходя из опыта, накопленного входе деятельности нашего предприятия.
Если взять статистику, например, из открытых источников, можно обнаружить, что 1,5% всех легальных сайтов в Интернете взломано и используется для установки вредоносного ПО. Это означает, что владельцы сайтов не знают, что они взломаны, люди, которые работают с этими сайтами, тоже этого не знают. Взломанными могут оказаться новостные сайты, информационные и любые другие ресурсы. Пользователи заходят на такой сайт и заражают свой компьютер «трояном». Что еще хуже, по тем же данным, более 10% сайтов могут быть взломаны полностью автоматически, т. е. злоумышленнику не нужно вручную выполнять какие-либо действия, он может написать программу для взлома этих сайтов. По нашим оценкам, не предвидится, что взломанных или уязвимых сайтов станет меньше. Практически любой работающий в Интернете пользователь может быть заражен и, по нашему мнению, это наиболее серьезная опасность в Интернете.
В июле была похищена база данных пользователей «В Контакте» (более 100 000 записей). Причем дело даже не в том, что были похищены конкретные контакты, просто злоумышленники показали, что они могут собрать любую информацию: сегодня их цель — база данных «В Контакте», а завтра — база данных любой другой социальной сети. Это свидетельствует о том, что рабочие станции людей, с точки зрения злоумышленников, открыты всем. Не составляет труда собрать большое количество учетных данных.
У нас был такой тестовый проект: на портале Бесиг^уЬаЬ мы разместили систему, которая позволяет человеку, заходящему на сайт, проверить защищенность своего компьютера онлайн. В результате более 60% пользователей имеют критичные уязвимости в программном обеспечении. Человек с такой уязвимостью, зайдя на зараженный сайт, с вероятностью 100% получит заражение вредоносным программным обеспечением. И это только пользователи Бесиг^уЬаЬ, т. е. пользователи продвинутые, интересующиеся темати-
§
5
6
I
55
№ 6(24) 2009
0
1
€ S3
«о <и
s
s
I
I
g % &
s
i >s S
55
«3
S
г
из §
S
кой. Я думаю, что, если взять пользователей, которые не имеют никакого отношения к безопасности, этот процент будет еще выше. На данный момент угроз в Интернете достаточно много, и люди не знают о том, насколько они уязвимы, не понимают, что сделать, чтобы себя защитить.
Зачем злоумышленник получает доступ к компьютерам обычных людей? Сначала он скачаивает с этого компьютера все то, что представляет хоть какую-нибудь ценность: учетные записи доступа к почтовым системам, к социальным сетям и т. д., потом он ставит свою программу, позволяющую выполнять с этого рабочего места какие-либо вредоносные действия. Кроме того, зараженные компьютеры «продаются» для создания бот-сетей, используемых для рассылки спама и организации DDoS-атак (англ. Distributed Denial of Service — отказ в обслуживании). Это обычный сценарий. Трудно сказать точно, сколько пользовательских компьютеров заражено — от 15 до 30 % по разным данным.
Еще более негативный сценарий — это атака специальными программами компьютеров, например, клиентов банков. Причем, по нашему опыту, обычные средства защиты, даже если они применяются, часто не могут задержать такие программы, поскольку у злоумышленников, как правило, имеется свой набор защитных программных продуктов, и они могут их тестировать. Некоторые «прицельные» вредоносные программы ловятся штатными антивирусами, но многие не ловятся — такие программы очень хорошо написаны и непосредственно влияют на потерю человеком контроля над его финансовыми инструментами.
Тут, наверное, вопрос к залу: кто из вас знает, куда обычный человек, не «IT-шник», может отдать деньги и получить адекватную защиту от угроз для своего компьютера? Например, «Антивирус Касперского» — очень хороший продукт, но, по нашему мнению, если вы не обновляете Windows, или Java-машину, или Acrobat Reader и т. д. — вам будет очень тяжело бороться с вредоносным программным обеспечением. Это также будет тяжело, если человек заходит на очевидно «плохие» сайты
или, например, использует нелицензионное программное обеспечение. Существует целый комплекс проблем.
Мы сейчас видим ситуацию, в которой и производители, и операторы сотовой связи задумываются над комплексной задачей, связанной с защитой простых людей. Человеку самому в безопасности не разобраться. Безопасность должна быть всепокрывающей услугой, начинающейся с того, чтобы пользователь понимал, что он делает, и заканчивая тем, что он должен использовать правильные средства по защите своего собственного компьютера. Мы специалисты по уязвимостям, по анализу защищенности компьютера. Мы можем достаточно четко сказать, где у человека проблемы, как их разрешить, и это наш вклад в дело защиты людей в Интернете».
Тему безопасности как услуги продолжил руководитель направления контент-безопасности компании «АИа^п» Владимир Бычек: «Первый вопрос — это родительский контроль, т. е. защита детей от нежелательного контента, и второй вопрос — защита от вредоносного кода, который поступает к нам из Интернета. Хотелось бы рассказать о концепции, которая, как нам кажется, имеет право на жизнь, — это концепция предоставления безопасности как сервиса. Слушая предыдущий доклад, я попробовал представить себе свою жену, пытающуюся оценить уязвимости, — практически невозможная ситуация. Сейчас, рассуждал о безопасности как о сервисе, мы говорим о предоставлении услуги людям, которые совершенно некомпетентны в области безопасности. Для начала несколько слов о родительском контроле. С давних пор и до недавнего времени было много разговоров о защите детей, но никто не задумывался, как ее лучше реализовать на практике. Когда начинаешь продумывать этот сервис и пытаться его внедрить, то видишь, сколько проблем возникает при его реализации и насколько он далек от совершенства.
Некоторые проблемы решить очень тяжело. Во-первых, в вашем доме живут не только дети, и, если вы приобретете услугу «чистого» Интернета, который нельзя обойти, то зайти
56
№ 6(24) 2009
на те сайты, на которые вы запрещаете заходить детям, станет довольно проблематично. Технически это решаемый вопрос, но его решение является дорогостоящим — необходимы дополнительные средства на стороне оператора. Фактически, выбирая эту услугу, вы «делаете себя ребенком». Во-вторых, вы можете зайти на сайт социальной сети, который не хотите закрывать, потому что сами используете, и увидеть много такого (в виде ссылок или потокового видео), что для детских глаз не подходит. Гранулированное управление доступом весьма сложно.
Предлагая такую услугу, необходимо понимать, что основная ее цель— не допустить случайного попадания «нормальных» детей на «неправильные» сайты. Да и воспитание в целом — это не просто с ребенком около телевизора посидеть, нужно уделять ему время, в том числе в части работы в Интернете. Можно, например, посмотреть журнал посещений, выяснить, какие сайты посещал ребенок. Полезно несколько раз вместе с ним попутешествовать— для большинства детей это будет очень неплохим уроком и сдерживающим фактором.
Тема защиты от вредоносного программного обеспечения является более актуальной, заниматься ей нужно всерьез, и для этого есть средства. Возвращаясь к теме доклада, я сейчас пытаюсь представить концепцию безопасности как сервиса, когда несведущий человек обращается к оператору, который в этих вопросах сведущ. Наше решение работает именно так: человек подписывается на услугу, и весь трафик, который идет к нему, проходит через наши фильтры. В этом случае все те угрозы, о которых говорилось, остаются на шлюзе, а пользователь получает чистый Интернет».
Андрей Зеренков, руководитель управления технической поддержки и консалтинга компании «Лаборатория Касперского», охарактеризовал нынешнюю ситуацию с вредоносным программным обеспечением в Интернете: «Я не буду затрагивать аналитическую сторону темы "Дети и Интернет"». Я хочу рассмотреть все наши вопросы с технической точки зрения.
Представим себе обычного пользователя: он купил компьютер, вышел в Интернет, зарегистрировался в электронной почте и на других ресурсах и в итоге получил спам. При этом он также может использовать финансовые он-лайн-инструменты, общаться через социальные сети, которые сами по себе небезопасны, и т.д. Помимо легитимных переходов с сайта на сайт, есть еще и нелегитимные. Мы говорим о легитимных переходах, когда какому-то пользователю хочется зайти на подозрительный сайт, чтобы развлечься сомнительным образом, скачать пиратский «софт» или фильм. Однако может быть и непреднамеренный вход на сайт как результат социальной инженерии, фишинга, или даже скрытый от пользователя, когда пользователь не знает, что его компьютер подключился к какому-то ресурсу. Существующие технологии позволяют установить на компьютер пользователя «троян», заставляющий компьютер пользователя делать то, что запланировал злоумышленник. По нашим данным, наибольшее число атак на сегодняшний день происходит через веб-браузер и большинство этих атак используют уязвимости и технологию drive-by-download. Динамика появления новых «зловредов»— 9400 в день. Можно ли от этого защититься организационными мерами, не используя средств защиты? Видимо, нет.
Трафик нужно «чистить», провайдеры должны активно этому помогать дополнительными средствами в расчете на пользователей, которые не понимают или не могут что-либо сделать. Необходимо обеспечить пользователя комплексом высокотехничных средств и минимальным объемом знаний, который должны давать ему провайдеры, производители средств защиты и, конечно, образовательные учреждения. Если говорить о провайдерах, то нужно обеспечивать контроль трафика, о чем уже говорилось, т.е. отсекать спам, фишинг, вредоносные атаки. Это усилия, это инвестиции, т. е. нужно предлагать это пользователю как услугу. Еще одна услуга — это оценка средств эффективности мер защиты пользователя. А вот возможность оценки действий пользователя в Интернете я предлагаю обсудить».
§
5
6
I
57
№ 6(24) 2009
0
1
€ S3
«о <и
s
s
I
I
g % &
s
i >s S 5
«3
S
a
из §
S
Технический директор компании «БоЛакБ» Владимир Гуськов рассказал о новых технологиях борьбы с интернет-угрозами: «Мы интегрируем решения, которые защищают как от опасностей во Всемирной паутине, так и электронную почту, и все остальное на ваших ресурсах, но речь сейчас пойдет о детях и о малом бизнесе, говорить о громоздких системах, которые присутствуют в корпоративном секторе, я не буду.
Сразу о детях. Все современные антивирусы включают модуль родительского контроля, о котором говорили многие, но проблема заключается в том, что они очень сложно настраиваемы. В настройках присутствует некий список запрещенных адресов, в который самому родителю нужно добавлять позиции, иначе он просто потеряет ту канву, в рамках которой сможет контролировать своего ребенка.
Современные антивирусы предлагают оценивать не только сам сайт (его адрес), но и контент, находящийся на сайте, что более прогрессивно. Если вы вводите определенные слова, то продукт ищет уже не название сайта, а слова в содержимом и, если находит, то блокирует доступ к нему.
Я расскажу о том, о чем никто еще не говорил. Используя традиционные средства родительского контроля и антивирусы, пользователи в конце концов ограничивают и сами себя, поскольку знают, что «туда ходить не нужно», там «можно заразиться» и т. д. Есть другое решение, которое дает возможность ходить куда угодно на любые сайты с любыми погрешностями — это виртуальные приложения. Если вы запускаете виртуальный браузер, то вам уже не страшны никакие черви и уязвимости. Любые файлы, которые вы скачиваете или просматриваете, находятся в виртуальном хранилище, а это значит, что ваша система никак не может быть инфицирована и доступна хакеру. В случае отключения виртуальной базы все стирается, но если вы хотите что-то сохранить, то сами уверенно и целенаправленно сохраняете это после проверки антивирусом. Уже существуют соответствующие продукты для персональных машин и даже сервера виртуальных приложений. В настоящее время по-
добные решения дороги, но в ближайшем будущем, через два-три года, они станут доступными. Очень мало говорят о виртуализации приложений, хотя это прогрессивное направление.
Хочется еще обратить внимание на необходимость интуитивности в интерфейсе антивирусного программного обеспечения. Всплывающие окна сильно «достают» — на каждый «чих» — окно, и как ребенок должен понять, что ему можно, а что нет?».
Директор по развитию Российского Агентства развития информационного общества (РАРИО) Станислав Тактаев рассказал об амбициозном общественном проекте. «Сегодня людям старшего возраста крайне сложно адаптироваться к условиям жизни в современном обществе, пользоваться электронными государственными услугами и осуществлять социальное общение. Не секрет, что молодежь гораздо быстрее «находит общий язык» с компьютером, чем люди за сорок и старше. Молодые максимально используют весь потенциал информационных технологий для работы, учебы, общения, получения государственных услуг, поиска информации и приобретения товаров. Как свидетельствует активное развитие социальных сетей, многие молодые люди (преимущественно школьники и студенты) готовы поделиться своими знаниями и навыками. Большинство из них занимают активную гражданскую позицию, понимая, что без знания ИКТ человеку очень сложно существовать в современном обществе. Согласно исследованию РМ, в России в 2006 г. только 3 % людей старше 55 лет имеет доступ в Интернет (в США — 55, в Европе — 37 %).
Цифровое неравенство затрагивает самые социально непривилегированные группы граждан, именно тех, кому в большей степени необходима социальная поддержка. Пожилому человеку крайне сложно собирать информацию о работе государственных органов, искать перечни необходимых документов для получения государственных услуг, узнавать время работы нужного ведомства. Вся эта информация в данный момент доступна в сети Интернет, ее можно получить за несколько
58
№ 6(24) 2009
минут, однако из-за компьютерной неграмотности людям старшего возраста приходится отстаивать часовые очереди, тратить время и деньги на поездки в органы государственной власти.
Во многих случаях люди старшего возраста получают помощь в обучении основам информационных технологий в рамках своих семей. Молодежь пытается помочь старшему поколению освоить компьютер, научиться пользоваться Интернетом, сервисами мгновенного обмена сообщениями, порталами органов государственной власти и интернет-магазинами. Для старшего поколения это не только вопрос получения знаний и навыков, но и важный опыт социальной адаптации и межпоколенче-ского общения.
Выход за рамки семейного общения на уровень социального проекта будет в данном случае полезен не только старшему поколению, но и молодежи: первые получили бы необходимые им знания и навыки, а вторые смогли бы применить свои знания на практике и поделиться опытом с другими. Существенные преимущества получит и государство, так как подобный проект снизит цифровое неравенство, социальную агрессию и дезадаптиро-ванность старшего поколения к новым условиям жизни при минимальных затратах на развитие образовательной инфраструктуры.
В рамках пилотной фазы проекта планируется привлечение волонтеров — школьников региона (желательно учеников 5-9-х классов) к обучению компьютерной грамотности лиц старшего возраста. Обучение будет проводиться на базе школ, библиотек и центров общественного доступа к сети Интернет. В рамках проекта должен быть разработан стандарт обучения, который потом будет использован для тиражирования опыта в другие регионы, а также необходимые методические и учебные материалы».
В целом, благодаря участию представителей ведущих российских компаний, работающих на рынке информационной безопасности, круглый стол вызвал большой интерес. Будем надеяться, что его проведение в рамках !пйэ5есиг^у станет доброй традицией.
Тем не менее, нельзя не отметить некоторый пробел в обсуждении столь важной темы, как безопасный Интернет. Некому было говорить о законодательных мерах по борьбе с преступлениями в киберпространстве и со спамом. Мало говорилось о человеческом факторе и как-то вскользь, а когда говорилось, то акцент делался на то, что «люди не могут сами разобраться». Вообще наблюдался дефицит новых идей (они излагались только в докладе С. Тактаева, что же до применения виртуальных приложений, сессий и машин, то идея не нова — любой программист, получивший образование в середине-конце 90-х годов, наверняка вспомнит, что похожие верования в «непогрешимость» виртуальной машины Java уже были широко распространены и оказались несостоятельными, кроме того, нельзя забывать и о том, что любой инструмент в руках борцов с киберпреступностью или обычной преступностью рано или поздно попадает к злоумышленникам и находит свое применение на «темной стороне») и дискуссий — создалось впечатление, что в данном вопросе имеется полное согласие между всеми участниками рынка услуг по обеспечению информационной безопасности и пользователями Интернета. Круглый стол сам собой из дискуссионного инструмента превратился в плац для констатации фактов (возможно, виной тому был весьма сжатый по времени формат мероприятия). Однако, на самом деле, консенсус отсутствует — имеется только определенный компромисс.
Взгляд на информационную безопасность с точки зрения бизнеса дает конкретику и четкость формулировок: статистика по уязвимо-стям, число ежедневно появляющихся образцов вредоносного ПО, возможности предлагаемых решений и т.д. С другой стороны, нужно очень четко понимать, что интересы бизнеса и пользователя в данной области изначально различны: компании хотят производить качественные продукты для борьбы с вирусами, чтобы продать эти продукты пользователю, а пользователи хотят, чтобы компьютерной преступности, вирусов и червей не было в принципе и вынуждены покупать продукты и услуги компаний. Проблема в том, что го-
59
№ 6(24) 2009
0
1
€ S3
«о <и
s
s
I
I
g % &
s
i >s S 5
«3
S
a
из §
S
ворится об этой разнице в интересах очень мало, а опасность в том, что, в принципе, та же констатация технических фактов только с другими цифрами могла бы происходить и происходила и пять, и десять лет назад.
Более того, выделяя в качестве привилегированного технический взгляд на проблему безопасности сегодня, мы и через десять лет будем находиться в той же ситуации, хотя опять-таки с другими цифрами. То есть картина с годами наполняется новыми красками и обрастает деталями, но сюжет ее все тот же: противостояние «всепротыкающих копий» и «всеотражающих щитов».
Исключительно технический взгляд начисто «стирает» из разума размышления о человеческом факторе (и о законодательном факторе тоже) в вопросе информационной безопасности.
Истина в том, что компьютеры, как и все искусственное неживое в этом мире, проектируются и создаются людьми, люди решают, какое ПО на них устанавливать и как их использовать, поэтому все, что связано с компьютерами вообще и с информационной безопасностью в частности имеет и человеческую сторону. Дело всегда в людях — если не в потенциальных жертвах, то в злоумышленниках, и если бы компьютеры могли действовать самостоятельно, заражать и взламывать друг друга, у людей были бы совершенно иные проблемы с ними, нежели те, которые имеются сегодня.
Нельзя сделать специалиста по информационной безопасности из каждого пользователя. Однако сосредоточение усилий по обучению пользователей на разъяснении того, как и что можно выдать, подцепить, на что нужно обратить внимание и почему, позволяет сформировать у пользователя ряд триггеров, которые заставляют его остановиться и задуматься в «момент выбора»: «Вбивать ли e-mail?», «Доверять ли сайту?», «Действительно ли это письмо от того, кого кажется?», «Вытащил ли я флэшку?» и т. д., по аналогии с взглядом в окно перед выходом на улицу или взглядом налево при переходе дороги.
Вообще, «Информационную безопасность» стоило бы назвать «Безопасностью человека при работе с информацией», чтобы не только
сотруднику в офисе, но и домашнему пользователю, играющему онлайн, было понятно, что именно его и хотят обезопасить.
Человек, так или иначе, всегда является виновником своей «информационной беззащитности»: он не может предотвратить все неприятности, но может хотя бы узнавать потенциальные угрозы и делать осознанный выбор, вместо того, чтобы апостериорно оправдываться: «Я нажал ОК, но не успел прочитать...».
С родительским контролем, вообще с контролем и рейтингованием контента тоже все не так просто: многие ли родители могут сформулировать, от чего именно за исключением очевидного (например, демонстрации насилия и порнографии) они хотят уберечь свое чадо и почему?
Акцент на технической стороне вопроса («Как?») отодвигает на задний план аспекты, связанные непосредственно с разделением контента на подходящий/допустимый и неподходящий/недопустимый для детских глаз, да и для любых других. Ориентировка в данном вопросе на наличие/отсутствие крови и нецензурных выражений не достаточна и не необходима.
Например, в компьютерных играх часто присутствует анимированная кровь. При этом общее впечатление от игры может быть таково, что оно не вызывает ни агрессии, ни страха, ни других негативных эмоций.
С другой стороны, даже в «бескровной» игре сложность может быть так неоправданно высока, «геймплей» организован настолько непродуманно, а код программы — написанным столь некачественно (приводить к постоянным ошибкам), что раздражение и другие негативные эмоции, стресс возникают, казалось бы, на пустом месте.
Как быть с таким контентом? Технически этот вопрос не решить.
Репортаж подготовил Валерий Артюхин
60