Введение
Конференция RSA 2005, проводимая в Сан-Франциско, собрала более 13 000 специалистов, внимательно изучивших последние новинки в области компьютерной безопасности и ПО. Компьютерная безопасность – это большой рынок, и хотя многим людям конференция RSA кажется слишком “корпоративной” и скучной, мы обнаружили много интересного.
Eli – всё, плюс грелка для пупка
Напоминая раздутую консервную банку, устройство Eli от Electronic Lifestyle Integration обладает впечатляющим набором функций. Мы, определённо, ждём появления этого устройства в нашей лаборатории. В крошечной коробке упрятаны почти все сетевые функции, которые только можно себе представить:
- четырёхпортовый коммутатор;
- беспроводная точка доступа (WEP и WPA);
- сервер печати USB;
- сетевой адаптер USB;
- брандмауэр;
- VPN (DES, 3DES, AES 256 бит);
- антивирусный фильтр;
- спам-фильтр;
- фильтрация по содержанию;
- порт VoIP, позволяющий подключить аналоговый телефон и звонить через Интернет.
Всё это хозяйство обойдётся вам всего в $199, плюс $10 ежемесячно за обслуживание (автоматическое обновление).
Netgear – питаем через Ethernet
Netgear заняла небольшой стенд, на котором демонстрировалась линейка коммутаторов, маршрутизаторов и брандмауэров ProSafe. Наиболее интересным устройством можно назвать FS108P, 8-портовый коммутатор Ethernet, обеспечивающий питание Power Over Ethernet (PoE). Четыре порта PoE позволяют питать устройства через обычный кабель Ethernet Cat 5 – великолепная функция, если в вашем арсенале есть устройства PoE, к примеру, камеры Axis. Согласитесь, что подвод одного кабеля Ethernet намного проще, чем обеспечение дополнительного питания.
FS108P будет продаваться примерно за $150.
Spirent Communications – тестируем сети
Как решить, какой сетевой маршрутизатор, коммутатор или брандмауэр покупать? Сетевые администраторы нередко подвергают сеть большой опасности, подключая устройства без предварительного тестирования. И хотя подобный подход часто работает, он может привести к печальным последствиям. У Spirent Communications возникла лучшая идея – устройства Avalanche позволяют симулировать реальную сетевую нагрузку.
Они позволяют выдать трафик, симулирующий любой протокол или атаку. Устройство Avalanche может симулировать HTTP 1.0/1.1, SSL, FTP, RTSP/RTP (Apple QuickTimeTM и Real Networks), Microsoft Windows Media, SMTP, POP3, DNS, Telnet и Video on Demand через протоколы Multicast. В устройство уже вшиты шаблоны трафика, кроме того, вы можете использовать трафик, захваченный в формате PCAP. В результате вы можете выдать один и тот же трафик на множество устройств, что облегчает выбор и тестирование сетевого оборудования.
Spirent Communications продаёт две модели Avalanche. Avalanche 220 – портативное устройство, способное симулировать работу до 50 000 одновременных пользователей с уникальными IP-адресами. Avalanche 2500 – стоечный вариант, способный симулировать работу уже более двух миллионов пользователей.
Guidance Software
Компания Guidance Software показала грядущую версию программного обеспечения для компьютерной экспертизы Encase Enterprise Version 5, которая наверняка заинтересует спецслужбы и милицию. Encase Enterprise является сетевой версией уже знакомой многим программы, которая позволяет изучать содержимое жёсткого диска, памяти и флэш-брелоков в поисках улик, поддерживаются даже жёсткие диски приставок TIVO. Файлы, картинки, письма и журналы интернет-пейджеров – всю эту информацию Encase умеет обрабатывать, представляя результат в виде удобного каталога. Кроме того, программа автоматически создаёт детальный отчёт.
Encase уже помогла расследовать многие преступления. Новая версия появится где-то в середине марта 2005 года, позволяя одновременно сканировать до 10 000 удалённых компьютеров. Подобный масштаб позволяет быстро проводить поиск нужной информации, экономя время и деньги.
Technology Pathways
Компания Technology Pathways является другим производителем программ компьютерной экспертизы. На конференции нам продемонстрировали программу ProDiscover, которая ищет на жёстком диске пароли и ключевые фразы. По всем файлам производится хэширование MD5, после чего получившийся код можно сравнивать с многочисленными базами данных незаконных файлов.
Подобно Encase, программа ProDiscover может находить удалённые файлы, а также просматривать скрытую в кластерах информацию (свободное пространство в кластерах). Поскольку данные считываются посекторно, от ProDiscover сложно скрыть информацию.
Для тех пользователей, кто желает проводить экспертизу удалённо, Technology Pathways предлагают ProDiscover Investigator. Investigator позволяет просматривать диск, создавать образ и анализировать информацию по любой сети TCP/IP. На компьютере запускается небольшой агент, захватывающий всю полезную информацию (содержание памяти, запущенные процессы и т.д.) и отсылающий её на консоль сервера. Агента можно устанавливать вручную или автоматически по сети (прозрачно для пользователей ПК).
Жёсткий диск Outbacker
Портативные жёсткие диски прекрасно подходят для переноса данных, однако самой большой проблемой здесь по-прежнему остаётся безопасность. Поскольку жёсткие диски портативны, их можно легко потерять, либо их может выкрасть злоумышленник, заполучив в свои руки всю информацию. Компания Memory Experts показала жёсткий диск Outbacker, который шифрует данные, а защита от несанкционированного доступа обеспечивается биометрическим сканером отпечатка пальца.
Доступны модели на 20, 40 или 60 Гбайт, и скоро должна появиться версия на 80 Гбайт. Упроченный корпус способен выдержать падение с трёх метров в рабочем режиме. Файлы шифруются с помощью 128-битного алгоритма AES, а ключи шифрования хранятся не на диске, а в раздельном чипе.
Sony – красивое шифрование?
Надоело запоминать длинный список паролей? Как насчёт того, чтобы скачать все пароли на брелок и защитить доступ к ним с помощью биометрического сенсора отпечатка пальцев? Именно такую идею и реализовала Sony. За $189 вы можете купить брелок Puppy, после чего сможете сохранять на него все пароли и сертификаты.
Кроме того, 64 Мбайт памяти достаточно для хранения документов. Они тоже шифруются и доступны только после распознавания отпечатка пальцев.
Airmagnet
Сегодня продолжается рост беспроводных сетей, причём многим компаниям требуются лучшие инструменты для диагностики. Сегодня ИТ-менеджеры тратят немало времени на поиск конфликтующих точек доступа и защиту от беспроводных атак. Но обходить офис, пытаясь удержать в руках ноутбук и антенну, далеко не лучший вариант.
AirMagnet показала несколько продуктов, призванных помочь сетевому администратору. AirMagnet Enterprise использует несколько аппаратных датчиков, подключённых к консоли, которая позволяет удалённо отслеживать ситуацию в беспроводной сети.
Датчики SmartEdge 802.11a/b/g можно располагать в любых местах. Они автоматически и пассивно определяют авторизованные и чужие точки доступа, а также клиентские компьютеры. Информация затем передаётся на консоль, которая может находиться за многие километры.
Хотя сенсоры SmartEdge обычно пассивны, они способны заблокировать чужие точки доступа. Конечно, это экстремальная мера, которая повлияет и на другие точки доступа в данной области. Кроме того, программное обеспечение Enterprise способно автоматически отключать чужие точки доступа, отсылая на них соответствующее сообщение SNMP.
Если у вас нет большого опыта сетевого администрирования, тогда вам будет полезна энциклопедия сетевых атак, поставляемая вместе с AirMagnet Enterprise. Она оснащена диаграммами и понятными объяснениями.
AirMagnet Enterprise на данный момент продаётся за $8995, причём в комплект поставки входит серверная консоль и четыре сенсора SmartEdge. Кроме того, можно покупать и дополнительные сенсоры.
Чтобы создать хорошую беспроводную сеть, нужно расположить точки доступа в оптимальных местах. Если точки доступа будут находиться на больших расстояниях, то неизбежно появятся мёртвые зоны, а слишком близкое расположение означает потерянные деньги. Раньше единственным способом проверки конфигурации беспроводной сети была прогулка по зданию с ноутбуком в руках, отмечая силу сигнала.
AirMagnet Surveyor позволяет экономить время, создавая карту покрытия беспроводной сети. Достаточно импортировать схему помещения в ноутбук или КПК, а затем обойти зону сети. Вы отмечаете стартовую точку, доходите до поворота, а затем отмечаете новую точку. Программное обеспечение автоматически наносит маршрут вашего движения и высчитывает силу сигнала. Surveyor также обладает функцией Active Surveying, которая позволяет связываться с точками доступа по мере их нахождения – ведь сила сигнала, это не единственный нужный параметр.
После того, как обход сети будет закончен, Surveyor может построить симуляцию покрытия, для случая, если бы удалили или переместили некоторые точки доступа. То есть в руках у сетевых администраторов оказывается гибкий и удобный инструмент.
AirMagnet продаёт Surveyor 2.0 по цене $1995.
Network Chemistry
NetworkChemistry предлагает беспроводные сенсоры вторжения RFprotect. Сенсоры вместе с программным обеспечением Server Engine, позволяют определить беспроводное вторжение – как и продукт AirMagnet.
Система распознаёт беспроводные атаки в реальном времени. Кроме того, она может автоматически отсылать оповещения другим сканерам типа Snort или Ethereal. Сенсоры RFprotect продаются за $899 каждый.
BlueSniper: стреляем по толпе
В первый день конференции RSA 2005 тысячи посетителей столпились в главном зале, знакомясь с новинками в области безопасности. Но немногие из них знали, что трио хакеров нацелило на них свои ружья BlueSniper. Джн Херинг (John Hering), Джеймс Бургес (James Burgess) и Кевин Махафи (Kevin Mahaffey) сканировали толпу посетителей в поисках уязвимых Bluetooth-устройств типа сотовых телефонов и гарнитур.
Нынешнее ружьё является усовершенствованной версией модели, показанной на прошлой конференции Defcon 12 в Лас-Вегасе. Направленная антенна усиливает сигналы Bluetooth, позволяя связываться с устройствами, находящимися на расстоянии в сотни метров. Информация затем передаётся в крошечный компьютер, прикреплённый к ружью наподобие магазина с патронами.
Ружьё ищет уязвимые устройства и затем выводит список доступных услуг. Если найдено уязвимое устройство, то можно запустить атаку.
Компьютер ружья использует 400-МГц процессор Intel Xscale и приёмник Bluetooth. По сути, перед нами миниатюрный КПК Ipaq без корпуса. Для записи полученной информации в компьютер можно вставить флэш-карту MMC.
Что же трио планирует делать дальше? Как сказал Джон Херинг, его группа обнаружила ряд уязвимостей в клавиатурах и гарнитурах Bluetooth: “Мы можем удалённо записывать вводимую информацию с клавиатур, а также речь с гарнитур”.
Так что перед переходом на Bluetooth следует десять раз подумать!
Beyond LSI – сезам, откройся!
Будем откровенны: ключи для дверных замков представляют уже настолько устаревшую технологию, что и говорить стыдно. Их можно потерять, заменить отмычкой, либо их могут украсть. Компания BeyondLSI находится в Японии и занимается биометрической защитой. Как считают представители этой компании, лучшим ключом является отпечаток вашего пальца.
Сначала замок нужно настроить. Для этого достаточно приложить палец, после чего отпечаток будет преобразован в 64-битный шаблон, сохраняемый в энергонезависимой памяти. Сравнение отпечатка с шаблоном происходит примерно за 40 миллисекунд. Сенсор может свободно считывать отпечаток под любым углом – так что целиться не придётся. Как утверждает BeyondLSI, технология настолько хорошо отработана, что вероятность ошибки составляет 0,001%.
SEM – уничтожение гарантировано
Как убедиться, что информация с жёстких дисков будет стёрта? Для этого достаточно прибегнуть к помощи SEM EraSURE – и диск будет гарантированно уничтожен. Просто вставьте жёсткий диск в устройство, после чего конвейерная лента проведёт винчестер через очень мощные магниты. На весь процесс уходит 30 секунд.
Магниты настолько сильны, что представители SEM утверждают о полном выходе из строя головок чтения/записи. Ну а если вы вдруг окажетесь в пустыне, где поблизости нет электрической розетки, то EraSURE предлагает ручную версию уничтожителя.
Если магнитное стирание вас не слишком впечатляет, то пропустите жёсткий диск через дезинтегратор SEM. Этот монстр буквально “сжирает” жёсткие диски, CD, материнские платы, да и любые предметы, превращая их в крошечные кусочки.
Для параноиков мы рекомендуем сначала стереть жёсткий диск магнитно, а затем пропустить его через дезинтегратор.
Безопасные оболочки Gore
В некоторых ситуациях информация, содержащаяся в чипах памяти или модулях, может быть очень важна. Как же защитить её от злоумышленников? Компания Gore предлагает гибкие оболочки, способные определять любое вторжение. Эту тонкую и гибкую оболочку можно попросту обернуть вокруг компонента. В оболочку встроены дорожки из проводящих чернил, находящиеся на расстоянии 200-300 микронов и способные определить любое вторжение. Если вторжение будет определено, то чип памяти будет стёрт.
Однако недостаток тоже есть: для оболочки требуется питание от батареи, причём довольно изощрённое. Если злоумышленник сначала обрежет провод питания, то оболочка не будет работать и не сможет стереть чип. В общем, батарея обычно располагается внутри оболочки.
Enigma от АНБ
Агентство национальной безопасности представила на конференции интересный стенд, на котором присутствовала знаменитая шифровальная машинка Enigma, которой пользовались немцы во время Второй мировой войны. Многие учёные работали над разгадкой алгоритма шифрования этой машинки.
Статьи по теме
- Toorcon 2004: конференция хакеров в солнечном Сан-Диего
- Defcon: двенадцатая встреча хакеров в Лас-Вегасе
- Конференция по компьютерной безопасности Black Hat
- EnCase: компьютерная экспертиза становится ещё легче
- Конференция хакеров LayerOne
- Auditor Security Collection: набор утилит для работы с WLAN
