Читаем Защита от хакеров корпоративных сетей полностью

Совершенная передовая секретность: маленький секрет протокола SSL

Маленький секрет протокола SSL состоит в том, что в отличие от протокола SSH его стандартные режимы работы не обеспечивают совершенную передовую секретность PFS. Объясняется это излишней любовью к PGP. В результате злоумышленник может затаиться в ожидании благоприятного для него стечения обстоятельств, прослушивая на досуге зашифрованный трафик. Он будет прослушивать трафик до тех пор, пока однажды не взломает протокол SSL и не похитит используемый им секретный ключ. Секретный ключ SSL можно извлечь едва ли не из большинства сделанных на заказ аппаратных средств. После этого весь ранее перехваченный трафик может быть расшифрован: номера кредитных карточек, транзакции, все переданные данные становятся беззащитными независимо от времени, прошедшего с момента их передачи. Подобное можно было бы предотвратить внутри существующей инфраструктуры, если бы VeriSign или другие центры сертификации предоставили удобный и недорогой способ циклической замены криптографической пары, заверенный извне. Или если бы производители браузера реализовали способ защиты информации с помощью мандатов или эквивалентного ему по защищенности способа, поддерживающего набор шифров с возможностью совершенной передовой тайны PFS. Поскольку ничего этого нет, то протокол SSL на самом деле обеспечивает меньшую безопасность, чем следовало бы.

Сказать, что это досадное недоразумение, мало. Это самая бесчестная тайна в стандарте шифрования Интернет.

Методологии конфигурации: построение индекса потенциального доверия

У всех систем есть слабые стороны, которые рано или поздно проявляются. Это неизбежно, потому что часто люди верят случайным лицам, которые учат их, кому и что доверять. Даже лучшие из систем защиты будут работать с ошибками, если ошибочна начальная конфигурация их индекса потенциального доверия.

Достойно удивления то, что администрирование баз данных аутентификации, при помощи которых защищается целостность сетей, выполняется по незашифрованным соединениям. Последовательность обязательных для системы действий, которые она должна выполнить во время своей идентификации при установлении внешней связи, обширна и в целом не продумана. Позже в этой главе будет приведен пример, который, по всей видимости, очень удивит читателя.

На очереди стоит вполне серьезный вопрос. Предполагая, что доверие и подлинность являются понятиями нечто, что предназначено для блокировки внутренней части системы, спрашивается: «Где именно эту блокировку следует осуществить, нужно ли ее осуществить в централизованном порядке и необходимо ли ее осуществлять вовсе?»

Один из важнейших вопросов, который должен быть разрешен при проектировании инфраструктуры безопасности, состоит в следующем: «Нужно ли, чтобы каждая рабочая станция, база данных и т. д. была защищена мощным централизованным аппаратом подтверждения подлинности и блокировки доступа, или же каждое устройство ответственно за собственную защиту и настройку?» Этот вопрос преследует важную цель: предотвратить крах системы в случае выхода из строя одной из ее составных частей.