Интервью

Каролик Андрей

Спецвыпуск Xakep, номер #045, стр. 045-018-5

З: Да, все еще можно вывести из строя если и не весь интернет, то достаточно большую его часть. Однако и структура сервисов интернета тоже становится все более и более распределенной, а это позволяет исключить единую точку сбоя, атака на которую могла бы вывести из строя всю сеть.

МК: По моему мнению, вывести из строя интернет нельзя. Интернет – это совокупность интернет-провайдеров разного размера и уровня. Многие сегменты интернета обслуживаются крупными телекоммуникационными компаниями и являются важной составляющей бизнеса этих компаний. Примерами таких компаний могут служить все известные телекоммуникационные компании, такие, как Бритиш Телеком, Дейтч Телеком, Спринт, Транстелеком. И подход к обеспечению работоспособности интернета у этих компаний соответствующий. У них существуют требования и шаблоны по правильной настройке оборудования с точки зрения защиты, отделы мониторинга и расследования инцидентов, специальные технические средства для обнаружения и блокирования атак типа "отказ в обслуживании". А вот маленькие операторы, обслуживающие небольшие кусочки низшего уровня нашей любимой всемирной сети, не в состоянии реализовать все вышеизложенное. Именно поэтому много проблем испытывают пользователи маленьких домашних сетей и мало – абоненты крупных операторов.

Почему до сих пор в сетевых протоколах находятся дыры, используемые для реализации атак?

МК: Вообще встречаются дыры двух основных типов. Первый – это ошибки реализации, а второй – недостаточная проработанность самих протоколов с точки зрения безопасности. Что касается первого типа, то, как говорил Брюс Шнайер, автор известнейшего труда "Прикладная криптография", современный программист делает на 1000 строк исходного кода 14 ошибок. Конечно, в процессе отладки программных продуктов это количество удается уменьшить, но полностью избавиться ошибок даже теоретически невозможно. Относительно второго типа тут дело в том, что практически все сетевые протоколы разрабатывались для того, чтобы обеспечить наиболее простое, удобное и легко реализуемое взаимодействие между сетевыми абонентами. То есть, по сути дела, разработчики стандартов вспомнили о функциях безопасности в сетевых протоколах только тогда, когда было уже поздно. Они попробовали исправить это сразу в рамках работы над протоколом IPv6, но пока такое возможно только в далеком светлом будущем. Поэтому сейчас существуют стандарты, которые могут быть приложены к существующим сетевым протоколам для повышения их безопасности. В первую очередь, это IPSsec, SSL/TLS и SSH. Использование этих протоколов позволяет скрыть большинство недостатков других протоколов в рамках стека TCP/IP. При этом внедрение их сильно сдерживается как техническими требованиями, например, требованиями по производительности и масштабируемости, так и сложностями на 9-м уровне модели взаимодействия открытых систем (организационно-политическом). Поэтому продолжаться это будет вечно, так как в "войне щита и меча" не может быть победителя в принципе. И основная задача любой системы безопасности в том, чтобы создание меча было экономически неэффективным, а создание щита – наоборот. А вот это уже вполне достижимо при грамотном использовании современных технологических наработок и решении проблем 9-го уровня.