Как спрятать данные в открытом мире?
Хакеры нацеливаются на социальные сети по нескольким причинам. Здесь много активных пользователей, имеются большие объемы персональной информации, подключиться очень просто, характерен определенный уровень доверия друг к другу и объектам контента (сообщениям, ссылкам, фотографиям, приложениям), а совместно используемый веб-контент, включающий гиперссылки и приложения, многообразен, что делает пользователей особенно уязвимыми к потенциальным атакам. Кроме того, социальные графы обладают сильной связанностью, что обеспечивает возможность вирусного распространения зловредных программ и других атак (это свойство социальных сетей стало широко известным благодаря «принципу шести рукопожатий», сформулированному психологом Стэнли Мильграммом).
Несмотря на широкую популярность социальных сетей и имеющиеся в них угрозы безопасности, до сих пор очень мало масштабных исследований оценки реальных размеров угроз. Для этой цели авторы статьи проанализировали более полумиллиона публикаций Facebook, используя приложение Defensio, защищающее пользователей от подобного контента, а также фильтрующее бранные слова и блокирующее заданные категории URL. Анализ показал, что значительная часть публикаций в Facebook представляет собой спам, а зловредные публикации занимают гораздо меньшую долю.
Статья «Уязвимости системы безопасности при применении политики единого домена: следствия и альтернативы» (Security Vulnerabilities in the Same-Origin Policy: Implications and Alternatives) представлена Хуссейном Саедяном (Hossein Saiedianи) и Дэном Бройлесом (Dan S. Broyles). Одной из первых мер поддержки безопасности, внедренных в браузеры, была политика единого домена (Same-Origin Policy, SOP). Еще в Netscape Navigator 2.0 политика SOP запрещала разделение данных между разными первоисточниками: уникальными хостами (например, веб-узлами), портами или прикладными протоколами. Так, например, SOP не допускает доступа из документов одного узла к содержимому или свойствам документов в других узлах, давая возможность пользователям посещать ненадежные узлы и не позволяя им манипулировать данными и сессиями в надежных узлах. Если, к примеру, обходится сайт example.com/index.htm, то SOP в соответствующем браузере разрешит или запретит выполнение скриптов или доступ к данным из следующих источников:
- http://example.com/about.htm (port 80): разрешит;
- https://example.com/doc.html (port 443): запретит;
- http://google.com/search.php (port 80): запретит;
- http://dev.example.com/more.htm (port 80): запретит.
По умолчанию SOP не допускает взаимодействия поддоменов (таких, как dev.example.com) с основным доменом, однако за счет использования скрипта <document.domain=«example.com»> в разных поддоменах SOP позволяет разделять данные между страницами example.com и dev.example.com. Это может привести к проблемам; например, страницы поддомена user-pages.example.com получили бы возможность доступа к данным страниц поддомена payments.example.com и изменения этих данных.
В SOP некорректно используется то предположение, что все пути по каталогам внутри одного URL относятся к одному и тому же источнику. Например, у URL www.example.com/~john и www.example.com/~mary имеется один и тот же первоисточник, хотя они относятся к разным пользователям, и, следовательно, между ними не следует поддерживать доверительных отношений. Еще одной проблемой SOP является то, что эта политика не позволяет разработчикам предоставлять пользователям динамические данные из нескольких источников. В то время как технологии Интернета развивались и усложнялись, SOP не совершенствовалась для поддержки потребностей безопасности более сложных систем, что позволяет злонамеренным пользователям обходить заслоны политики безопасности.
В принципе ограничение SOP является хорошей мерой обеспечения безопасности, поскольку позволяет защищать целостность и конфиденциальность данных, однако эта политика не успевает за изменениями в веб-технологиях. В первых браузерах безопасности не уделялось достаточное внимание, и механизм SOP был добавлен в них позже, чтобы удовлетворить лишь некоторые общие требования безопасности. С появлением JavaScript, AJAX, веб-сервисов и коллажей ловкие программисты и хакеры нашли способы подрыва SOP. При любой реализации SOP может найтись веб-приложение, которое можно будет атаковать из зловредного кода, даже если эта реализация выполнялась вполне добросовестно. Кроме того, при исправлении дефектов безопасности необходимо учитывать уникальные черты среды Web – отсутствие сохранения состояния и мобильность кода. Ситуация еще более осложняется тем, что правила и реализации SOP различаются для разных ресурсов, объектов DOM, объектов XMLHttpRequest и т. д.
Неопытные веб-программисты, не знающие, что на некоторые объекты и действия (такие, как предоставление формы и теги типа <script> и <img>) SOP не распространяется, могут копировать скрипты JavaScript с других веб-сайтов, не понимая последствий для безопасности. Подобно тому как это было в первых веб-браузерах, такие программисты больше заботятся о функциональности, чем о безопасности.
Недостатки SOP поволяют проводить различные атаки, такие как «подделка межсайтовых запросов» (cross-site request forgery, CSRF), «межсайтовый скриптинг» (cross-site scripting, XSS) и «загрязнение веб-кэша» (Web cache poisoning). Попытки устранения возможностей частных видов атак дают лишь ограниченный эффект, поскольку не устраняют базовые проблемы безопасности. Другими словами, SOP не является корректным механизмом поддержки безопасности, и необходима его переделка для удовлетворения потребностей контроля доступа веб-ориентированных ресурсов. В сообществе веб-безопасности продолжаются поиски наилучшего подхода, однако ясно то, что в текущем виде в SOP отсутствуют два базовых принципа контроля доступа: разделение привилегий (separation of privilege) и минимальная привилегия (least privilege). Профессиональные программисты знают об этих недостатках, и имеется много эффективных способов их преодоления, но, к сожалению, многие веб-сайты разрабатываются непрофессионалами.
У статьи «Безопасное совместное управление цепочками поставок» (Secure Collaborative Supply-Chain Management) много авторов и первый — Флориан Кершбаум (Florian Kerschbaum). Всеобщая распространенность Интернета и появление облаков обеспечивают возможность новых видов совместной деятельности, а сервисы типа Facebook и Twitter позволяют людям по-новому общаться и взаимодействовать. Эти тенденции влияют как на предпринимателей, так и на потребителей, но как следует компаниям функционировать в этом новом мире?
Хорошо известно, что информационное сотрудничество при обеспечении цепочек поставок позволяет снизить расходы, повысить уровень обслуживания и уменьшить загрязнение окружающей среды. Тем не менее компании часто не решаются сотрудничать из-за отсутствия взаимного доверия — они опасаются, что совместно используемые данные могут быть применены партнерами не по прямому назначению. Например, компаниям нужна информация о себестоимости продукции их бизнес-партнеров, чтобы оптимально планировать производство и складирование, но они могли бы использовать такую информацию и в своих переговорах о ценах. Исследователи давно пытаются согласовать две конфликтующие цели совместного использования информации и защиты конфиденциальности. Криптографы разработали некое теоретическое решение более 25 лет тому назад: безопасное многостороннее вычисление (secure multiparty computation). При применении этого подхода несколько участников вычисляют нужную им функцию над совместными конфиденциальными исходными данными, и каждый знает результат вычислений, но ему неизвестны исходные данные других участников.
На пути применения протокола конфиденциального вычисления для решения реальных бизнес-проблем имеются четыре основных препятствия. Во-первых, исследователям необходимо проанализировать наблюдаемую неэффективность управления цепочками поставок и вывести формулу, на основе которой можно было бы устранить эту неэффективность. Во-вторых, требуется разработать безопасный протокол для реализации такого вычисления. Разработка таких протоколов является сложной задачей, поскольку они обладают низкой эффективностью, и для ее оптимизации часто требуется вручную верифицировать безопасность. В-третьих, исследователи должны выполнить практические эксперименты, чтобы оценить вычислительную эффективность своего решения. Наконец, необходимо оценить возникающие риски, чтобы определить, как повлияет внедрение решения на экономическую обстановку.
В Европейском исследовательском проекте SecureSCM все эти четыре задачи решены для конкретного случая организации цепочки поставок деталей авиационных двигателей.
Статью «Последний рубеж: конфиденциальность и секретность в облачной среде» (The Final Frontier: Confidentiality and Privacy in the Cloud) написали Франциско Роча (Francisco Rocha), Сальвадор Абреу (Salvador Abreu) и Мигель Коррейа (Miguel Correia). Многие компании используют облака из-за удобства их стоимостной модели и эластичности обеспечиваемых ресурсов, но с точки зрения конфиденциальности и секретности данных на пути перевода корпоративных информационных систем в облака возникают проблемы. Защита системы часто основывается на поддержке периметров безопасности, но в облачной среде корпоративные системы работают на аппаратных средствах провайдера облаков, сосуществуют с программными средствами этого провайдера и других пользователей. Попросту говоря, в облачной инфраструктуре затуманивается ясное ранее разделение надежных внутренних и ненадежных внешних компонентов.
Хотя исследователи выявили многочисленные угрозы безопасности в облаках, значительную проблему по-прежнему представляют злонамеренные инсайдеры. Угрозы безопасности в новой среде добавляют к этой проблеме новые измерения, поскольку операторы облаков и системные администраторы невидимы и неизвестны. Конфиденциальные данные (пароли, криптографические ключи или файлы) путем выполнения всего лишь нескольких команд могут быть получены зловредным или некомпетентным системным администратором.
Провайдеры знают об этих проблемах, и у них имеются очень строгие процедуры регулирования доступа сотрудников к машинам, в которых размещены данные пользователей. Отслеживаются все действия, выполняемые сотрудниками, вся эта информация регистрируется для обеспечения возможности последующего аудита, и можно гарантировать, что все сотрудники соблюдают установленную политику конфиденциальности. Однако этого недостаточно — предотвращение физического доступа не устраняет возможности удаленных атак, а мониторинг и аудит позволяют выявить атаку только после того, как она произошла. Возможно, поэтому есть такие программные системы, которые никогда не будут перенесены в облачную инфраструктуру, например серверные компоненты SAP.
Как же может организация хранить в облаках конфиденциальные и секретные данные? Как полагают авторы статьи, сегодня нет отдельного решения этой проблемы, а некоторые частные решения могут основываться на подходе изолированных сред , обеспечиваемых технологиями доверительных вычислений (trusted computing) и доверительного платформенного модуля (trusted Platform Module, TPM). Авторы статьи предлагают свое частное решение на основе TPM, обеспечивающее защиту от угроз зловредных инсайдеров в облачной среде категории «инфраструктура как услуга» (infrastructure as a service, IaaS).
Статья «Безопасность в Интернете вещей» (Securing the Internet of Things) написана Родриго Романом (Rodrigo Roman), Пабло Нахерой (Pablo Najera) и Хавьером Лопезом (Javier Lopez). В Интернете вещей все реальное становится виртуальным в том смысле, что у каждого человека или предмета в Сети имеется обнаруживаемый и адресуемый URL. Эти виртуальные сущности могут обеспечивать и потреблять услуги, а также сотрудничать для достижения некоторой общей цели. Телефон узнает физическое и душевное состояние своего владельца через сеть устройств, окружающих человеческое тело, и поэтому может действовать от имени человека. Встроенная система в плавательном бассейне может делиться информацией о своем состоянии с другими виртуальными сущностями. В этих условиях парадигму Интернета вещей можно будет расширить от «в любом месте, любым образом, в любое время» до «кому и чему угодно любая услуга».
Для полного воплощения концепции Интернета вещей требуется преодолеть несколько препятствий, в основном в области безопасности. Интернет существует в условиях непрерывных атак, что не сулит ничего хорошего для Интернета вещей, включающего много устройств с ограниченными возможностями. Реализация концепции IoT, скорее всего, приведет к появлению новых замысловатых зловредных моделей. Задача состоит в том, чтобы предотвратить развитие таких моделей или по крайней мере смягчить их воздействие.
Для решения этой задачи требуется понимание характеристик предметов и технологий, образующих Интернет вещей. Мобильные приложения уже интенсифицируют взаимодействие пользователей со средой, и исследователи достигли значительного прогресса в разработке сенсорных устройств, которые обеспечивают многочисленные новые измерения информации, доступной пользователям. Однако, в отсутствие надежных средств поддержки безопасности, атаки и сбои в работе могут перевесить все преимущества Интернета вещей. Традиционных механизмов защиты — легковесной криптографии, протоколов безопасности и обеспечения конфиденциальности — недостаточно. Исследователям необходимо обнаружить все виды специфичных для Интернета вещей и зачастую новых угроз. Требуется проанализировать существующие протоколы безопасности и выяснить, пригодны ли они в исходном или модифицированном виде для применения в среде Интернета вещей либо же требуются совсем другие средства.
Также важны правовые и технические основы Интернета вещей — для их образования аналитики должны полностью понять риски, связанные с различными сценариями использования, например применение во время полета на самолете, когда приходится учитывать множество взаимосвязанных аспектов: безопасность, конфиденциальность и экономичность. Только после этого можно обосновать расходы на разработку механизмов поддержки безопасности и конфиденциальности данных.
Все эти требования позволяют выделить основные первые шаги по реализации мер безопасности Интернета вещей: понимание на концептуальном уровне, оценка текущего состояния безопасности в Интернете и определение того, каким образом можно перейти от решений, удовлетворяющих текущим требованиям и ограничениям, к решениям, которые смогут обеспечить нужный уровень безопасности.
Последняя статья тематической подборки называется «Липкие политики: подход к управлению конфиденциальностью данных при наличии нескольких участников» (Sticky Policies: An Approach for Managing Privacy across Multiple Parties). Ее авторами являются Сиани Пирсон (Siani Pearsonи) и Марко Казасса Монь (Marco Casassa Mont). Существующие механизмы обеспечения защиты конфиденциальности за пределами границ организаций опираются на правовые и бизнес-конструкции, включающие контракты и соглашения об уровне обслуживания. Эти подходы дополняются техническими механизмами, поддерживающими соблюдение организациями принятых обязательств и соответствующий аудит. Информация, позволяющая установить личность (personally identifiable information, PII) или персональные данные, требует особой защиты. С позиции компаний конфиденциальность основывается на применении законов, политик, стандартов и процессов управления. Управление конфиденциальностью определяет способы, с помощью которых организации и отдельные люди могут контролировать сбор и индивидуальное или совместное использование персональных данных, включая информацию деликатного характера.
Управление конфиденциальностью с соблюдением нормативных требований защиты данных может помочь организациям добиться доверия со стороны своих заказчиков. В этом контексте могут быть различные нормативные требования, связанные с конфиденциальностью данных, включая законы, специфичные для конкретных отраслей, национальные правовые требования и ограничения межгосударственных потоков данных. Хотя анализ требований в этой ситуации может быть затруднен, во всем мире в основе законодательства, касающегося конфиденциальности данных, лежит некоторый сложившийся набор принципов. Однако основные проблемы остаются открытыми:
- как обеспечить больше средств контроля для конечных пользователей?
- как получать разрешения конечных пользователей и управлять этими разрешениями?
- как добиться эффективности управления конфиденциальностью при передаче информации между несколькими сторонами?
Подход, основанный на «липких» политиках (условия и ограничения, которые привязываются к данным и описывают, как с ними следует обращаться), позволяет добиться удовлетворения имеющихся требований, а также будущих потребностей, возникающих в связи с появлением новых технологий и моделей, включая хранение и обработку «деликатных» данных в облачной среде.
Вне тематической подборки опубликованы две крупные статьи. Статью «Тенденции в области обеспечения пропорционального потребления энергии» (Trends in Server Energy Proportionality) представили Фредерик Рикбош (Frederick Ryckbosch), Стийн Полфлье (Stijn Polfliet) и Ливен Экхоут (Lieven Eeckhout). Сегодня при разработке серверов в первую очередь должна учитываться эффективность энергопотребления, поскольку она влияет на капитальные расходы на энергоснабжение и охлаждение. Луис Барросо (Luiz Barroso) и Урс Хелцле (Urs Hölzle) в своей книге «Центр обработки данных как компьютер» показали, что в совокупной стоимости владения классического ЦОД доминировали серверные капитальные затраты (69% TCO относились к расходам на приобретение серверов и их поддержку). В отличие от этого в современных центрах обработки данных, основанных на дешевых серверах при более высоких ценах на электроэнергию, расходы на поддержку инфраструктуры и энергопотребление более чем вдвое превышают расходы на приобретение и поддержку серверов. Из этого делается вывод, что по мере роста расходов на электроснабжение затраты на обеспечение работоспособности ЦОД будут составлять все большую часть TCO пропорционально объему потребляемой энергии.
На пути повышения эффективности энергопотребления имеется много нерешенных проблем. Величина пикового энергопотребления влияет на капитальные расходы на разводку питания, блоки питания и инфраструктуру охлаждения. Высокий уровень энергопотребления приводит к повышению плотности рассеиваемой мощности и температуры, что влияет на расходы на охлаждение и, возможно, на надежность и доступность аппаратных средств. Общий объем энергопотребления определяет эксплуатационные расходы на поддержку работоспособности серверов. Кроме того, серверы в крупных ЦОД редко полностью простаивают и редко бывают полностью загружены – обычно они функционируют в режиме 10-15% загрузки. Это наблюдение побудило Барросо и Херцле выделить класс серверов, у которых объем потребляемой энергии пропорционален уровню их загрузки. Основная идея состоит в том, что серверы следует оптимизировать и с целью сокращения пикового энергопотребления, и с намерением максимизировать производительность при наличии низких уровней загрузки.
В декабре 2007 года организация Standard Performance Evaluation Corporation (SPEC) выпустила эталонный тестовый набор SPECpower_ssj2008, позволяющий измерить производительность и потребляемую мощность сервера при разных уровнях загрузки и на основе полученных данных вычислить пропорциональность энергопотребления. Авторы предлагают ввести явный показатель эффективности — путем вычисления показателя пропорциональности энергопотребления EP на основе опубликованных данных об энергопотреблении и производительности они устанавливают, как соотносятся его значения со значениями показателей SPECpower. Авторы также пытаются количественно определить, можно ли добиться сокращения общего энергопотребления путем оптимизации EP.
Последняя крупная статья сентябрьского номера написана Вивеком Меноном (Vivek Menon), Бхаратом Джаяраманом (Bharat Jayaraman) и Вену Говиндараю (Venu Govindaraju) и называется «Три R киберфизических пространств» (The Three Rs of Cyberphysical Spaces). Киберфизическое пространство обладает интеллектом, обеспечивающим естественный интерфейс с человеком посредством зрения, речи, жестов и осязания, а не клавиатуры и мыши. Ключом в реализации этой парадигмы является идентификация и отслеживание людей в пространстве, что важно для многих приложений. В некоторых киберфизических пространствах люди заранее известны (как в системах мониторинга здоровья населения), в других – неизвестны (как в системах национальной безопасности). Рассмотрим два возможных сценария.
Обитатель интерната для проживания престарелых людей с ограниченными возможностями носит бейдж радиочастотной идентификации, позволяющий постоянно отслеживать его присутствие. Как-то раз он входит в лифт в одиночку и застревает в нем из-за аварии с электричеством. Сигналы, передаваемые его RFID-бейджем, не достигают ни одного приемника. Обслуживающий персонал сможет обнаружить его, только когда лифт снова заработает.
Злоумышленник смог проникнуть на режимный объект, за которым ведется наблюдение с применением видеокамер. После поступления сигнала тревоги работники службы безопасности приступают к поискам злоумышленника. Группа поиска полагается на данные персонала поста управления, ведущего наблюдение за объектом через несколько видеоканалов. Злоумышленник не появляется ни на одном канале. У группы поиска нет иного выхода, кроме как обыскивать все комнаты.
Эти сценарии иллюстрируют потребность в автоматизированных подходах к преобразованию мультимедийных данных в форму, пригодную для выборки информации. Эта проблема охватывает области обработки видео- и аудиоданных, компьютерного зрения, пространственно-временного логического вывода и моделей данных. Подобные сценарии также подчеркивают необходимость в ненавязчивом сборе данных, например в ношение RFID-бейджей. Идентификация людей по лицам, походке или голосу более естественна и поэтому более пригодна для киберфизического пространства. Авторы статьи предлагают три фундаментальные операции для этого пространства: распознавание (recognition), логический вывод (reasoning) и поиск (retrieval). Биометрическое распознавание, основанное на различных модальностях (зрительной, речевой и т. д.), неточно и подвержено ошибкам — результатом работы такого распознавателя обычно является некоторое распределение вероятностей. Информационный поиск в киберфизическом пространстве касается местоположения людей в разные моменты времени. Следовательно, запросы должны быть вероятностными и пространственно-временными, например следующими:
- где в последний раз видели X?
- с какой вероятностью Y и Z встречались в зоне повышенной безопасности между 18 и 19 часами?
Для смягчения недостатков подхода, основанного только на распознавании, авторы предлагают интегрировать распознавание с пространственно-временным логическим выводом, что позволит повысить качество поиска в киберфизическом пространстве.
Многочисленные публикации по глобальной, всепроникающей компьютеризации сосредоточены на приложениях, в основе парадигмы которых лежит активация некоторого физического устройства. В киберфизических пространствах, базирующихся на этой парадигме, как правило, используются сравнительно простые датчики температуры, давления и т. д., и такие пространства в большей степени относятся к сетевым датчикам и компьютерным устройствам. В новой парадигме, предлагаемой авторами статьи, идентификация и отслеживание объектов киберфизического пространства производятся путем информационного поиска с применением пространственно-временных запросов.