Tinklo duomenų bazės ir isteklių nuoma

Tinklo duomenų bazės ir isteklių nuoma. Pavojai ir saugumas

 Vis daugiau ir daugiau kompanijų savo versle naudoja internetą, nepaisydamos nuolatinių pranesimų apie "hakerių atakas", kurios pasak informacijos saltinių padaro milijardinius nuostolius. Nespręsime gerai tai ar blogai, nes tai neisvengiama. Verslui, kuris tampa vis globaliskesnis, darbui su informacija reikalinga vieninga erdvė. Ir čia internetas siandiena neturi kitos alternatyvos.

 Siandiena internetas - vienintelė bendra erdvė, leidzianti perduoti, saugoti ir apdoroti informaciją, turinti isvystytą infrastruktūrą, interfeis'us, giminingus protokolus, ir yra praktiskai visur prieinamas.

 Tinklai X.25 galėtų tapti alternatyva, tačiau dėl įvairių priezasčių jų vystymasis sustojo ir siuo metu jie naudojami 21521c26v ribotai, tik specialiems tikslams. Esant reikalui bendradarbiavimas su siais (ir kitais) tinklais bei jų resursais gali būti organizuojamas internetu. Tai leidzia panaudoti papildomas galimybes, pvz.: faksimilinių, teletaipinių ir telekso pranesimų perdavimą ir perėmimą, isėjimą į specializuotus bankų tinklus, elektroninių laiskų perdavimą paprastu "popieriniu" pastu, SMS perdavimą per elektroninį pastą ir pastarojo perdavimą į fiksuoto rysio telefoną.

 Internetas tampa erdve suteikiančia priėjimą prie korporacinių duomenų, tame tarpe ir prie kritinės informacijos. Kadangi operatyvus ir patogus priėjimas prie didelių apimčių duomenų is bet kurio pasaulio tasko yra labai svarbus, kito pasirinkimo nelieka. Jei valstybinės organizacijos, pvz.: karinės ar diplomatinės zinybos gali naudotis uzdarais tinklais, tai komercinės organizacijos tokios galimybės neturi: tai nenaudinga, nepatogu ir netikslinga.

 Sios aplinkybės lemia vis didesnį siuolaikinių duomenų centrų paslaugų tiekimo paplitimą. Jie suteikia patikimą hosting'ą ir turi galimybes plėtoti duomenų apsaugą. Pvz.: dirbant su ASP (programų nuoma, Application Service Provision) schemos programomis saugumą uztikrina kompleksinė apsaugos sistema, turinti tarptinklinius ekranus, įsilauzimų susekimo skenerius, zurnalinių failų audito sistemas, srauto (traffic) statistinių charakteristikų analizės sistemas ir kt.

 Informacinio saugumo tikslai (ir bet kurios kitos rūsies saugumo) - zalos minimizavimas esant galimiems poveikiams, o taip pat tokių poveikių numatymas ir isvengimas.

Informacinį saugumą sudaro:

. objektų, galinčių sulaukti pavojaus, nustatymas;
. jau esančių ir galimų pavojų isaiskinimas;
. galimų pavojaus saltinių nustatymas;
. rizikos įvertinimas;
. neigiamo poveikio saltinio suradimo metodai ir priemonės;
. gynybos nuo zinomų pavojų metodai ir priemonės;
. reagavimo į incidentus metodai ir priemonės.

KOKIE INFORMACINIŲ SISTEMŲ OBJEKTAI GALI SULAUKTI PAVOJŲ?

 Informacija. Ją galima a) pavogti; b) sunaikinti; c) pakeisti; d) uzblokuoti; e) sukompromituoti. Pati savaime informacija yra pasyvi, todėl norint ją įtakoti reikia daryti poveikį nesėjui ar sistemai, kurioje informacija "gyvena". Norint apsaugoti informaciją nuo neleistino pakeitimo ir atskleidimo naudojami kriptoapsaugos metodai, kurių tobulinimas paskutiniu metu yra stipriai pazengęs.

 Infrastruktūros įranga ir elementai. Jai priklauso serveriai, aktyvi tinklinė įranga, kabelinės sistemos, maitinimas, pagalbinės sistemos. Tokie objektai gali sulaukti fizinio pavojaus ir dėl to netekti dalies funkcionalumo. Taip pat sistemoje gali atsirasti svetimų objektų, kurie turi įtakos sistemos darbui ar nuskaito informaciją. Apsaugos objektai taip pat gali būti pavogti. Tai neatrodo juokinga, ypač atsizvelgiant į tai, kad 2000 metais nesiojamų kompiuterių vagystės atnesė daugiau kaip 10 mln. dolerių vidutinį nuostolį. Tokio pobūdzio rizikos minimizavimui naudojami klasikiniai fizinės gynybos metodai (apsauginis perimetras, leidimų sistema ir personalo priėjimo kontrolė, videostebėjimas, atzymos ir signalizacijos sistemos, suveikiančios vagiant įrangą, ginkluota sargyba, asmeninė saugumo tarnyba ir t.t.). Isdeginantys įrangą virusai kol kas yra tik legenda (ir ko gero pakankamai tolimos ateities klausimas).

 Programinis aprūpinimas. Tai operacinės sistemos, pridėtinės programos, servisai. Kadangi programinė įranga yra lengvai pazeidziama, ji yra pagrindinis klasikinių puolimų tikslas. Tokių objektų puolimas gali sukelti:

. sistemos (programos, serviso) zlugimą, dalinį ar pilną funkcionalumo praradimą;
. puolančiosios pusės (ar isorinio poveikio) neleistinų ar nenumatytų veiksmų vykdymą sistemos viduje;
. sistemos kontrolės įgijimą.

 Pagrindinis klasikinių informacinio saugumo sistemų tikslas yra apsauga nuo puolimų, naudojančių programinio aprūpinimo pazeidziamumus.

 Personalas. Fizinis ir psichologinis poveikis sisteminiam administratoriui nėra sio straipsnio tikslas. Tačiau kalbant apie saugumą reikėtų pasakyti, kad didelės informacinės sistemos administratorius turėtų būti apsaugos objektu, taip pat ir asmeninio saugumo tarnybos nuolatinio dėmesio objektu. Tikslingas ar atsitiktinis poveikis personalui, turinčiam administracinius įgaliojimus sistemoje, gali sukelti riziką. Reikia pazymėti, kad atskirų sistemų "klausimo vertė" gali būti priespastatoma visos sistemos vertei.

Mes aptarėme informacinio saugumo poziūriu lengviausiai pazeidziamus objektus.

KAS IR KAIP GALI KELTI GRĖSMĘ INFORMACIJAI? KAS GALI TAPTI TOKIO POVEIKIO SUBJEKTU IR KOKIŲ PRIEMONIŲ BŪTŲ GALIMA IMTIS?

 "Piktavalis". Kas nors, tam tikrų tikslų vedamas daro sąmoningus veiksmus, galinčius pakenkti. Motyvai gali būti patys įvairiausi - nuo sportinio intereso iki darbdaviui jaučiamos nuoskaudos, ar suinteresuotos organizacijos darbuotojo tarnybinių pareigų vykdymo.

 "Administratorius". Lojalus darbuotojas, turintis vartotojo su didesnėmis teisėmis (superuser) įgaliojimus, kuris esant tam tikroms aplinkybėms atlieka nuostolingus veiksmus. To priezastis gali būti elementarios kvalifikacijos nebuvimas, nuovargis. Klasikinis pavyzdys - komanda rm -rf / * (be patvirtinimo pasalinti visus failus, įskaitant ir vidines direktorijas) UNIX'e, tapusi anekdotų bei baisių istorijų tema, ir nepaisant to, periodiskai pasikartojanti. Administratorius sistemoje turi praktiskai neribotas galimybes, ir net jeigu kokia nors informacija yra apsaugota nuo pakeitimų ir kompromitacijos, labai sunku isvengti jos sunaikinimo.

 "Virusai". Siuo pavadinimu apibendrinsime visas "savaime besidauginančias" programas, sukurtas zmogaus, bet gyvenančias savarankiską gyvenimą, paklūstantį jose įdėtam algoritmui. Tai ir virusai, ir "kirminai", ir kartu su jais plintantys "trojos arkliai". Kūrėjas gali netekti viruso kontrolės (pvz.: Moriso tinklo kirminas) arba dalinai ją islaikyti (Code Red). Viruso puolimo metu isaiskinti pirminį saltinį ir programos autorių daugeliu atveju yra neįmanoma (tai neatitinka informacinių sistemų saugumo specialistų ir tiekėjų pareigų ir galimybių).

 Dar yra "force majeur" aplinkybės. Tai nenumatomos ir nekontroliuojamos aplinkybės, kurių aptarimas yra daugiau juridinis klausimas. "Force majeur" aplinkybėms priklauso katastrofos, stichinės nelaimės, teroristiniai aktai, vyriausybės veiksmai ir pan. Visa tai be abejonės kelia pavojų informacijai (o taip pat ir saugumo specialistams), bet tai jau kito straipsnio tema. Pasak naujausių duomenų, publikuotų Kompiuterių Apsaugos Trends, 2001 CSI Computer Crime and Instituto [Computer Security Issues Security Survey], pagal fiksuotų incidentų skaičių pirmoje vietoje yra virusų puolimai, antroje vietoje - nesiojamų kompiuterių vagystės, trečioje - informatorių veiksmai tinklo viduje. Ir tik ketvirtoje vietoje su ryskiu atotrūkiu yra įsilauzimai į tinklą is isorės.

 Duomenys apie finansinius nuostolius nėra tikslūs. Taip yra todėl, kad daug nuostolių priskiriama madingais tapusiems hakeriams ir tinkle veikiantiems kirminams. Didelė dalis nukentėjusiųjų nepranesa apie patirtus nuostolius baimindamiesi sugadinti kompanijos reputaciją. Skaičių pasiskirstymas labai didelis - nuostoliai, patirti siekiant apsisaugoti nuo puolimų, svyruoja nuo 100 iki 10 mln. dolerių kiekvienam puolimui, vidutiniskai - 500 dolerių, virusų puolimams - nuo 100 iki 20 mln. dolerių, vidutiniskai - 200 dolerių.

 Yra incidentų kategorijos, kur vidutiniai nuostoliai yra tikrai dideli - tai finansinis sukčiavimas ir informacijos vagystės. Nuostoliai, patirti dėl sukčiavimų vidutiniskai siekia beveik 4,5 tūkst. dolerių, bendri paskelbti nuostoliai artėja prie 100 tūkst. dolerių. Sią informaciją patvirtina firmų, uzsiiminėjusių prekyba internete, bankrotai.

 Puolimų, nukreiptų į interneto paslaugų tiekėjo tinklą ar duomenų centrą, galimybė yra didelė. Tai nulemia didelės talpinimo resursų galimybės, duomenų centruose esančios informacijos charakteris, vertė ir kritiskumas. Siuo atveju reikia nepamirsti profesionaliai paruosto ir atlikto puolimo, kurio tikslas gauti arba sunaikinti informaciją, įgyti resursų kontrolę, galimybės.

 Vykdant "klasikinį" hosting'ą (kompanija besispecializuojanti virtualių tinklapių talpinime) sulaukti profesionalaus puolimo mazai tikėtina, tačiau tikėtini grubios jėgos (brute force) puolimai, bei puolimai, panaudojant gerai zinomus pazeidziamumus. Galimi pasto serverių puolimai, norint nebaudziamai perduoti didelių apimčių spam'ą (nepageidautiną informaciją, dazniausiai reklaminio turinio). Profesionalių puolimų paruosimas reikalauja nemazų pastangų (esant galimybei ir informatoriaus dalyvavimo), gaunama puolimo kaina būna didesnė nei gautas rezultatas, net jei puolimas ir pavyksta.

 Įvairios organizacijos ir sistemos turi skirtingą saugumo politiką. Kaip kad skiriasi gyvenamojo namo, parduotuvės ar atominės elektrinės saugumo uztikrinimas, taip pat skirtingai yra kuriama hosting'o tiekėjo, korporacinės informacinės sistemos ar duomenų centro informacijos saugumo sistemos.

 Duomenų centrai arba kitaip vadinami Duomenų Apdorojimo Centrai - naujas reiskinys, atsiradęs plėtojantis tinklui (o taip pat ir plėtojantis verslui tinkle). Stambios kompanijos iseidamos į internetą pateikia savo reikalavimus, susijusius su atitinkamu paslaugų tiekimo lygio ir saugumo uztikrinimu. O dauguma esančių hosting'o kompanijų yra orientuotos į kitą rinkos dalį ir turi savo specifiką. Jos nepasiruosę tokių uzduočių sprendimui. Grįztant prie metaforos būtų galima pasakyti, kad gyvenamieji namai nepritaikyti pramonės centrams ar bankams, o juo labiau atominėms elektrinėms.

 Hosting'o kompanijos atsirado anksčiau nei duomenų centrai, ir esant kitokioms ekonominėms aplinkybėms (tiek Lietuvoje, tiek Vakaruose). Daugumos tokių kompanijų pagrindinė uzduotis - pigių ir pakankamai profesionalių tinklapių talpinimo ir prieziūros, bei nesudėtingų pasto paslaugų tiekimas. Klientais tampa privatūs asmenys, nedidelės kompanijos, biudzetinės organizacijos, sou verslas ir daugelis kitų. Stambus korporacinis verslas ir organizacijos, susiję su valdzia ir valdymu, kaip taisyklė nedirba su hosting'o kompanijomis, nes sios neuztikrina auksto apsaugos lygio ir negarantuoja tam tikro paslaugų tiekimo lygio.

 Siekimas sumazinti savikainą daugeliu atvejų apibrėzia "klasikinio tiekėjo" informacinės sistemos struktūrą. Kaip taisyklė naudojami nefirminiai serveriai, valdomi Linux arba Free-BSD, tinklapio serveriai Apache, duomenų bazės My SQL ir Postress, Perl ir PHP skriptai. Siuo atveju neapmokamumas yra pliusas, gamintojo techninės pagalbos nebuvimas - minusas (nors tinklapio serveriai Apache yra patikimi ir patogūs).

 Reikia pazymėti, kad daugeliu atveju "klasikiniai" hostong'o tiekėjai neturi savo aktyvios tinklo įrangos ir savo rysių kanalų, jie naudojasi tiekėjo infrastruktūra. Is vienos pusės tai leidzia zymiai sumazinti paslaugų kainą, is kitos - atima galimybę kontroliuoti ir zymiai apriboja saugumo suteikimo galimybes.

 Bendras vidutinio tiekėjo apsaugos lygis yra adekvatus galinčių iskilti pavojų ir talpinamos informacijos vertei. Saugumo politika neplėtojama, o visus sistemos pakeitimus vykdo vienas ar keli administratoriai. Gamintojo pagalbos nebuvimas, nedidelis personalas - visa tai is vienos pusės verčia sistemos organizatorius būti visada pasiruosusiais, o is kitos pusės smarkiai riboja galimybes ir apsaugos lygį.

 Kaip mes jau kalbėjome, įvairių kategorijų objektams tinka savi apsaugos būdai, ir nėra prasmės kiekvienam gyvenamajam namui įrengti zenitinį pabūklą ar priesraketinės gynybos sistemą. Į gyvenamojo namo sargo pareigas įeina kova su chuliganais ir vagimis, bet ne komandoso atakų atrėmimas ir ne profesionalių zvalgų gaudymas.

 Duomenų centrai atsirado palyginti neseniai. Jie nėra hosting'o kompanijų vystymosi tąsa. Duomenų centrai turi visai kitokią struktūrą, orientuotą į sudėtingų kompleksinių paslaugų tiekimą, kurių gali prireikti uzsakovui (dazniausiai korporaciniam). Duomenų centrams būdingas aukstas jų apsaugos lygis - ir teritorijos gynybos, ir techninių bei organizacinių saugumo priemonių atzvilgiu.

 Duomenų centrų informacijos apsaugos uztikrinimas turi savo specifiką. Pirmiausia tai klientų, dirbančių internete (tame tarpe ir per terminalinius servisus) aprūpinimas "skaidriu" priėjimu, prisilaikant labai grieztų informacijos saugumo reikalavimų. Dar viena ypatybė - įvairių platformų ir programų naudojimas, neleidziantis susikoncentruoti ties kokios nors vienos platformos ar produktų linijos saugumu. Tam tikra kliento informacijos dalis turėtų būti niekam neprieinama, net sistemos administratoriams.

 Daugeliui komercinių produktų ASP rezimas pradėtas taikyti palyginti neseniai. Todėl sie produktai neturi ilgos eksploatacijos istorijos, nutolusio paskirstymo pasiekimo rezime. Dėl sių aplinkybių nėra atlikti kruopstūs pazeidziamumų testavimai. Todėl pries paleidziant ASP produktą reikalinga ilga testavimo ir konfigūracijos procedūra. Norint nustatyti tarpsegmentinius ekranus (firewall) reikalinga srauto analizė, atvirų port'ų (port) diapazono nustatymas, įvairaus rezimo srauto statistinės charakteristikos.

 Perziūrėsime kai kuriuos konkrečius apsaugos elementus, galimą jų realizaciją ir pritaikymo įvairiose situacijose tikslingumą.

 "Nulinė" apsaugos riba - tai tinklo struktūros nuslėpimas, taip vadinama imituojanti gynyba, kada speciali programinė įranga emuliuoja tinklo segmentus, serverius ir pazeidziamumus. Pastovi puolimų į nesantį tinklą kontrolė leidzia issiaiskinti pavojaus saltinį. Is kitos pusės imituojanti sistema suklaidina potencialius agresorius ir apsunkina tikrosios sistemos struktūros nustatymą ir puolimų planavimą.

Pirmoji apsaugos riba - įsilauzimų detektorius IDS. Analizuodama įeinantį srautą si sistema atseka pazįstamų tipų puolimų parasų (signature) atsiradimą. Po eilės atvejų nusistato adaptyvios apsaugos sistema, kuri atpazindama atitinkamus parasus vykdo pasiekimo aprasų pakeitimus tinklo ekrane (firewall). Taip atliekamas operatyvus puolimo saltinio blokavimas. Siuo atveju tikrinamo parasų skaičiaus apribojimas yra tikslingas (tai būdinga Cisco IDS - NetRanger). Tai leidzia padidinti reagavimo spartą ir sumazinti melagingų pavojų galimybę (kas yra kritiska adaptyviai sistemai). Sumazėjęs aptinkamų puolimų skaičius kompensuojamas įdiegiant papildomas įsilauzimų aptikimo sistemas į lokalinę apsaugą (dazniausiai naudojamas laisvai platinamas SNORT detektorius).

 Su IDS vartojimu yra susiję keletas problemų. Pirmiausia tai reagavimas į melagingą pavojų. Panasi situacija buvo stebima Code Red ir NIMDA "epidemijos" metu. Si problema yra issprendziama, tačiau visada reikia prisiminti tokių atvejų galimybę. Kompanijos, talpinančios "klasikinius" virtualius tinklapius, praktiskai nenaudoja aparatūrinių IDS, pirmiausia dėl jų brangumo. "Lengvi" programiniai detektoriai taip pat naudojami gana retai, nes jiems reikia nemazų sistemos resursų. Srauto analizė (paketų atranka) esant reikalui atliekama "rankiniu būdu", naudojant pagalbinę programą, tokią kaip tcpdump. Pagrindinis puolimų srautas susekamas zurnalistinių failų analizės metu.

 Aparatūrinių ir programinių IDS naudojimas duomenų centruose yra neisvengiamas.

 Antras apsaugos lygis - tai apsaugos zonų, uzdarytų tinklo ekranais, paskirstymas ir srauto paskirstymas naudojantis virtualiais VLAN tinklais. Trijų lygių struktūra ("isorinė zona", "demilitarizuota zona" ir "vidinė zona") yra standartinis sprendimo būdas. Tarptinkliniai ekranai - tai gerai aprasyta klasika. Virtualūs tinklai (VLAN) klasikiniame hosting'e naudojami kur kas rečiau - kai kurioms tinklo struktūroms ir virtualaus hosting'o atramai. Klientų srauto izoliacijos uzdavinys VNIX virtualaus hosting'o sistemose sprendziamas programinėmis priemonėmis.

 Tarptinklinių ekranų derinimas esant sudėtingai tinklo struktūrai nėra paprasta uzduotis. Naudojamasi principu "uzdrausta viskas, kas neleistina".

 Is kitų gynybos metodų, kurių naudojimas yra neisvengiamas, reikėtų isskirti antivirusinę apsaugą. Centralizuotas virusų stebėjimas yra idealus sprendimas. Siuo atveju programinės įrangos pasirinkimas yra pakankamai platus ir priklauso nuo skonio ir finansinių galimybių. Antivirusinė pasto kontrolė su automatiniu uzkrėstų laiskų pasalinimu yra truputį nepatikima. Daugelis norėtų gauti nepakitusį pastą. Nemalonu, kai antivirusinė programa tylomis "suvalgo" laiskus, kuriuose yra virusų parasai (signature) arba vartotojo pranesimai apie galimą virusų puolimą su prisegtu įtartinu failu. Is kitos pusės, dėl zemo daugumos vartotojų "higieniskumo" lygio ir pastovių virusų puolimų, vartotojų pasto dėzučių kontrolė yra pageidautina. Vartotojas turi turėti pasirinkimo galimybę. Skirtingoms vartotojų grupėms turėtų būti taikomi skirtingi reagavimo tipai.

 Zurnalinių failų analizė yra neatskiriama saugumo sistemos dalis, nepriklausanti nuo kompanijos klasės ir lygio, todėl nėra tikslo ties juo sustoti.

 Priėjimo kontrolė ir vartotojo identifikacija - taip pat neatsiejama saugumo sistemos dalis, nuolat diskutuojama ir aptarinėjama. Vertėtų apsistoti ties administratorių ir operatorių, turinčių administracinius įgaliojimus sistemoje, priėjimo kontrolės klausimo. Vartotojų su didesnėmis teisėmis (superuser) slaptazodzių generacija ir keitimas yra pastovi problema. Saugumo sumetimais juos reikia daznai keisti. Bet atsitinka taip, kad slaptazodziai root yra rasomi ant visų prieinamų pavirsių. Nebloga iseitis - siuolaikinių identifikacijos priemonių naudojimas ir priėjimo kontroliavimas. Praktiskai taikomi keli pagrindiniai metodai bekontaktinių atminties elementų ("tablečių") Dallas Semiconductor ir sprendimų kortelių pagrindu (Schlumberg ir analogiskos), o taip pat biometrinės kontrolės sistemos. Pastarosios (duomenų centro tinklo valdymo centrams) atrodo priimtinesnės, nes pamesti pirstą ar akį yra sudėtingiau negu pakabutį su atminties elementu. Kartu yra garantija, kad į sistemą pateks įgaliotas vartotojas, o ne kas nors, suradęs raktą.

 Is biometrijos kontrolės sistemų labiausiai paplitę pirsto atspaudo skaneriai (Compaq Fingerprint, Identix, "pelės" ir "ziurkėnai"-"Hamster"). Kaip taisyklė sios sistemos nebrangios, daugelio kaina nevirsija 100 dolerių. Akies rainelės skaneriai kol kas dar brangūs ir nepakankamai patikimi.

 Nėra tikslo vardyti visus techninius metodus. Reikia nepamirsti, kad tik techninių priemonių, kad ir kokios galingos jos būtų, neuztenka netgi minimaliam saugumo lygiui uztikrinti. Nekorektiski administratoriaus veiksmai gali padaryti daug didesnę zalą negu visi virusų puolimai. Vartotojo klaida, padaryta savarankiskai administruojant savo programas, gali nuleisti perniek visas saugumo pastangas. Prisijungimo vardas "demo" ir slaptazodis "test" buvo ir yra sutinkami stebėtinai daznai. Taip pat kaip ir slaptazodis "sdfgh" ir "54321".

 Kas dar būdinga duomenų apdorojimo centrams - tai parengtos saugumo politikos, griezta reglamentacija ir paruosta dokumentacijos sistema.

 Griezta personalo veiksmų reglamentacija, tame tarpe (ir pirmoje vietoje) sistemos administratorių, turi minusų - sumazėja operatyvumas atliekant nestandartinius veiksmus. Kita vertus, garantuojamas būtinų veiksmų atlikimas. Todėl specialisto, turinčio administracinius įgaliojimus, atleidimas neturi įtakos normaliam funkcionavimui ir nemazina bendro saugumo lygio. Savos saugumo sistemos buvimas leidzia minimizuoti galimų personalo, turinčio sistemoje administracinių įgaliojimų, veiksmų zalą.

 Svarbus momentas - reagavimas į incidentą. Duomenų centro klientai turi būti maksimaliai apsaugoti. Pavojaus atveju turi būti imamasi adekvačių ir būtinų priemonių.

 Ne visada lengva nustatyti tikrąjį pavojaus saltinį, bet daugeliu atveju tai įmanoma. Administracinio reagavimo negalima nepaisyti. Egzistuoja tinklo etiketas ir visuotinai priimtos taisyklės, kurių laikosi dauguma tiekėjų. Jeigu jie gauna duomenų, patvirtinančių puolimą is jų tinklo, tai reaguoja grieztai ir adekvačiai. Bet tik tuo atveju, jei jiems pateikiami tikrai svarūs įrodymai. Daugumoje issivysčiusių salių yra organizacijos ar padaliniai, uzsiimantys kova su nusikaltimais Tinkle. Jie reaguoja tuo atveju, jei nusikaltimas įvyko jų teritorijoje ar nuostolį patyrė jų rezidentai. Dėl terorizmo grėsmės sugrieztėjusi interneto kontrolės politika neleidzia abejoti, kad esant tikrai rimtiems atvejams reikiamas tyrimas bus atliktas.

 Duomenų centro informacijos saugumo tarnyba turi galimybę reaguoti į incidentą. Zinant tarptautinių ir nacionalinių bei visuotinio saugumo organų struktūrą, įstatymus, galimybė adekvačiai reaguoti yra pakankamai didelė. Saugumas - tai ne tik techninės priemonės, bet ir informacijos rinkimas, analizė pagal daugelį kriterijų, sintezė ir zinoma, menas.

 Pavyzdziu galėtų būti IDS (įsilauzimų detektoriai), kontroliuojančių vieną DATA FORT projekto tinklų, statistika. Per keturias spalio mėnesio dienas buvo uzfiksuota daugiau kaip 50 000 puolimų parasų (signature). Pagrindinė dalis teko "kirminui" Nimda (daugiau kaip 40 000 aptiktų parasų), be to pagrindinė puolimų dalis ėjo is vieno saltinio - is vokiečių ISP-tiekėjo tinklo. Informavus administratorių puolimas iskart buvo sustabdytas. Nimda naudoja zinomus pazeidziamumus. DATA FORT administratoriams juos uzdarius iskart po jų aptikimo viruso puolimas zalos nepadarė.

 Is kitų bandymų įsilauzti uzfiksuoti du bandymai isnaudoti labai senus FTP pazeidziamumus ir trys pasto sistemų puolimai (vėlgi isnaudojant gerai zinomus pazeidziamumus). Aisku, rezultatų tai nedavė. Siais atvejais administracinių priemonių nebuvo imtasi (dėl mėgėjisko bandymų pobūdzio).

 Uzfiksuoti 149 bandymai nustatyti DNS versiją (saltiniai - pačiuose įvairiausiuose tinkluose) ir 40 bandymų skanuoti portus (saltiniai vėlgi pačiuose įvairiausiuose tinkluose). Is esmės nieko priestaraujančio įstatymams tokiame skanavime nėra - tai tik bandymai nesivarginant surasti silpną tinklo vietą. Uzfiksuoti skanavimo saltiniai įtraukiami į duomenų bazę kaip potencialiai grėsmingi.

 Visi sumodeliuoti puolimai (tinklo skanavimas, "grubios jėgos" puolimai, IIS pazeidziamumų puolimai) buvo aptikti ir teisingai identifikuoti.

KOKIE PAVOJAI GALI ISKILTI ATEITYJE?  Kurti "į virusus panasias" programas darosi vis paprasčiau. Jos tampa mobiliomis ir gali funkcionuoti bet kokioje platformoje. Daugelis naujų "kirminų" ir "trojos arklių" neturi ardomosios funkcijos, o skirti pirmiausia pazeistos grandies kontroliavimo gavimui - masinių paskirstytų puolimų organizacijai ir "kovinių tinklų" kūrimui.

 Paskirstyti puolimai tampa vis daznesni ir pavojingesni. DoS (paskirstyti "atsisakymo aptarnauti" tipo puolimai) kelia naują ir rimtą grėsmę. Toks puolimas yra daugiapakopis. Jį atlieka "zombiai" - trojos arkliai, dirbančios kompiuteriuose, į kuriuos buvo įsilauzta. Pavojaus saltinio, puolimo "valdymo centro" tokiu atveju atsekti praktiskai neįmanoma. Apsiginti nuo puolimo, vienu metu einančio is simtų ir tūkstančių saltinių yra labai sunku.

 Paskirstytais tampa ir skaičiavimai. Tokie skaičiavimai gali būti vykdomi ir be kompiuterio savininko zinios. Precedentų jau yra. Zinomais atvejais vykdytojų tikslai buvo taikūs (kompiuterių resursai buvo naudojami nezemiskų civilizacijų signalų paieskai), tačiau niekas negarantuoja, kad grazios uzsklandos ant desimčių tūkstančių kompiuterių ekranų is tikrųjų neatlieka kriptografinės analizės kieno nors tikslams.

 Dar viena įdomi tendencija - kriptoapsaugos apėjimo galimybės netiesioginių būdų pagalba. Neseniai buvo publikuotas realus tokio atvejo pavyzdys. Ir nors panasaus "įsilauzimo" (tiksliau apėjimo) į apsaugotą SSH programą, analizuojant laiko tarpus tarp pranesimų siuntimų, bandymas atrodo daugiau kuriozinis, jis gali tapti "gręsiančio pavojaus sesėliu". Kompiuterių galingumo didinimas, galimybė atlikti lygiagrečius paskirstytus skaičiavimus, naudojantis siuolaikiniais matematiniais metodais, (koreliacinės analizės metodai, neuroninių tinklų panaudojimas) gali atvesti prie informacijos apsaugos sumazėjimo.

 Ir dar. Karų kibererdvėje galimybė tampa vis didesnė. Neseni įvykiai JAV parodė, kad priesininkas gali būti anoniminis ir stiprus. Stambių korporacijų ir duomenų centrų informacinės sistemos gali tapti taikiniu Nr. 1. Siuo atveju teks susidurti su masiniais, gerai paruostais puolimais, kuriems atsilaikyti galės tik gerai apgalvotos ir paruostos sistemos. Siandieniniai tinklo duomenų centrai yra būsimų kompleksinio saugumo sistemų pirmtakai.