Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Шифрование трафика - вторая палка ИБ о двух концах

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(5)
()
О конфиденциальности информации говорят все и временами даже требуют ее обеспечения. Но мало кто задумывается о том, куда такие требования нас заводят? С одной стороны - да, приватность, тайна личной жизни, тайна переписки... Все это нам даровано Конституцией и вроде как является правом неотчуждаемым. Отсюда и рост объема зашифрованного трафика в Интернете согласно последним исследованиям Cisco.


Положительным образом на увеличение этого показателя влияет внедрение шифрования в различные стандарты (например, PCI DSS) и лучшие практики, которым начинают следовать многие организации и поставщики услуг. Например:

  • поставщики мобильного контента и сервисов, внедривших шифрование у себя по умолчанию,
  • видео-хостинги и настройки браузеров, включающих шифрование по умолчанию,
  • сервисы хранения и резервного копирования данных в режиме онлайн.


Доходит до того, что компании начинают применять шифрование даже в контролируемых зонах, в которых ранее это шифрование не требовалось, так как было сопряжено с необходимостью обновить инфраструктуру на более производительную, а также с различными законодательными препонами со стороны ФСБ. Но сегодня ситуация меняется - и оборудование становится более мощным и содержащим встроенные функции шифрования, и регулятора уже меньше заботит, что делают компании для защиты информации для собственных нужд. Ниже пример одного исследования компании Lancope, изучившей некоторое количество компаний и обратившей внимание на рост энтропии во внутренних сетях предприятий.


Но у шифрования есть и другая сторона. Во-первых, оно создает иллюзию защищенности, когда все внимание уделяется шифрованию в канале передачи данных, но совершенно забывается про шифрование данных в местах их хранения (тех же центрах обработки данных). Во многих последних случаях утечки информации злоумышленники крали ценные данные именно в процессе их хранения, а не передачи. Но это не единственная проблема шифрования.

Им стали активно пользоваться и злоумышленники, скрывая свою деятельность от мониторинга или просто используя шифрование в недобрых целях (те же шифровальщики TeslaCrypt или CryptoWall). Контролировать такие потоки информации становится очень сложно, но и от шифрования отказа не произойдет ни с точки зрения ИБ, ни с точки зрения злоумышленников. Поэтому так важно использовать дополнительные механизмы анализа сетевого трафика, который позволяет мониторить сопутствующие параметры, не погружаясь в содержимое самих коммуникаций - Netflow, домены и IP-адреса и даты их появления на свет, репутацию взаимодействующих узлов и другие метаданные. Также важно не забывать про интегрированную безопасность, которая должна стоять не "в разрыв", как это часто бывает, а быть встроенной в сетевое оборудование, операционные системы, базы данных, сервера, рабочие станции и т.п. В этом случае работа с зашифрованным трафиком будет более эффективной, чем попытка перенаправить его куда-то для расшифрования.

Есть и третья сторона у применения шифрования. Откуда ни возьмись у нас возникает государство с его требованиями по обеспечению национальной безопасности, защиты от террористов и экстремистов, и т.п. безусловно важными вопросами. Возьмем, к примеру, последнюю инициативу наших властей, о которой я на днях писал. Спецслужбы и иные заинтересованные лица по сути признаются в неспособности повсеместно установленных элементов СОРМ решать стоящие перед ними задачи. СОРМ, традиционно ориентированный на обычную голосовую связь, неплохо справлялся с этой задачей, так как шифрование в обычной телефонной сети не применялось никогда, а в мобильной - спокойно обходится на уровне оператора мобильной связи (голос шифруется только от телефонного аппарата до базовой станции).


С контролем данных и Интернет ситуация гораздо сложнее - там шифрование можно легко сделать сквозным и никакой СОРМ тут не сильно поможет. А тут еще и переломный момент в использовании шифрования - свыше 50% трафика в Интернет стало неприступным для анализа спецслужбами. Поэтому остается только одна - либо запрещать шифрование вообще (что маловероятно), либо заставлять всех депонировать ключи шифрования и делиться сертификатами открытых ключей для "законного" вклинивания в поток данных, как пытались сделать в середине 90-х годов в США в рамках проекта Clipper, либо развивать негласную СОРМ.

Что характерно, "разоблачения" Сноудена, как раз являются демонстрацией третьего пути борьбы с шифрованием, по которому пошли спецслужбы США. Запрещать что-то в самое демократической стране никому и в голову бы не пришло. Требовать от Facebook, Twitter, Microsoft публичного отказа от конфиденциальности депонирования ключей бессмысленно (опять же демократия мешает). Остается только одно - развивать технологии негласного съема информации, а также принуждать Интернет-компании делиться информацией по секретным решениям секретного суда.

Россия сейчас тоже вплотную подошла к этой дилемме, с которой США столкнулись 20 лет назад, начиная проект Clipper, Capstone и Skipjack. Мы пока выбрали второй путь, так как первый является ну очень уж одиозным (а главное, что террористы и экстремисты все равно плевать будут на этот запрет), а третий плохо работающим и не масштабируемым (достаточно вспомнить, как Twitter, Google и Facebook "посылали" Роскомнадзор с его запросами относительно блокировок аккаунтов, публикующих нелицеприятные для российских властей сведений).

Вот такая история у нас получается с шифрованием. И какой будет ее финал пока непонятно...
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Алексей, добрый день!  
Можно все упростить до элементарного и решить проблему. Но для начала необходимо уточнить.
Зачем надо шифровать трафик? (Твое личное мнение)
 

up
10 users have voted.
Аватар пользователя alukatsk

Михаил, приветствую! Давно не слышались :-) Я бы уточнил "кому надо"? Если мы говорим о пользователях (B2C или B2B), то трафик надо шифровать для сохранения его в тайне или для выполнения требований законодательства или для потакания потребностям/желаниям пользователей.

up
9 users have voted.
Аватар пользователя riskmn

Привет! Думаю, еще пересечемся, я вернулся и появились интересы в ИБ. Был в Перми на "Коде безопасности" в конце того года (думал будет сюрприз, что ты и Олег приедете и преговорим) - жаль не сложилось. Хочу с тобой пообщаться (начал интересный проект на Урале по "Центру компетенции в ИБ", есть что обсудить (нужны твои консультации и посоветоваться надо). Буду в Москве в марте - переговорим, если конечно тебе будет интересно.
Теперь по теме. Смотри. Только от перехвата? Для качественной организации связи шифрование ведь не нужно?
Если в секторе G - не возражею. Пусть шифруют сколь угодно еслт им денег не жаль.
Остальным - кто как не ты реально представляет как реализованы технологии коммуникаций и какое оснащение и квалификация персонала и денег надо для этого перехвата???
А что"гоняют" по кангалам даже крупные Ко? Там нечего шифровать!!!
Вот и спрашиваю - в чем проблема? Только в паранойе или в "пальцы веером"? Скорее всего это элементарное невежество рулевых бизхнеса и больные фантазии.
Нет?

up
9 users have voted.
Аватар пользователя alukatsk

Нет. Я, например, не готов гонять трафик в свой Интернет-банк по открытому каналу. А это только один сценарий из множества.
ЗЫ. Я 15-го марта буду в Ебурге.

up
8 users have voted.
Аватар пользователя riskmn

Само собой - банки и другие полезности - никаких вопросов. Здесь требование регулятора и здравый смысл. Да и системы шифрования понятны. Про такой трафик поговорим при встрече.
Я об остальном бизнесе - где все шифруют напропалую не разбираясь. Зачем?
PS. А что будет 15-го марта? По личным делам или нет?

up
11 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.