книги хакеры / журнал хакер / 158_Optimized

root, например, позволяющий создавать RAWсокеты или устанавливать привязку к привилегированным портам. Благодаря Capabilities, ping’у можно дать права только на создание RAW-сокетов, и даже если взломщик найдет в нем дыру, он не получит ничего, кроме… да, права на создание RAW-сокетов. Какая досада, не правда ли?

Первоначально механизм Capabilities появился то ли в HP-UX, то ли в AIX. Он уже давно включен в стандарт POSIX, однако о нем никто не вспоминал, пока не появилась возможность управлять привилегиями с помощью атрибутов файловой системы в ядре Linux 2.6.24.

КАТАЛОГОВАЯ СТРУКТУРА

Еще одна интересная идея, предложенная для реализации в следующих версиях Fedora, заключается в реорганизации каталоговой структуры, почти не менявшейся со времен UNIX. Эта идея состоит в том, чтобы переместить все исполняемые файлы в /usr/bin, отказавшись, таким образом, от каталогов /bin, /sbin, /usr/sbin, а также от каталога /lib, всё содержимое которого планируется перенести в /usr/lib. Нововведение это не только и не столько косметическое, сколько глубоко практическое. Дело в том, что, по мнению разработчиков дистрибутива, /bin, /sbin и /lib уже давно потеряли свой смысл как каталоги для хранения базовой системы, которая может быть загружена, даже если каталога /usr нет на месте (в старые времена его было принято подключать

с помощью NFS). В то же время перемещение всех системных файлов в /usr позволит создать более гибкую систему, чтобы выполнять такие трюки, как, например, загрузка разных версий системы с помощью монтирования разных /usr-

СписокCapabilitiesядраLinux

ВВЕДЕНИЕ

Какой должна быть операционная система, полностью завязанная на «облачные» приложения? Такой, как ОС-браузер, например Google Chrome OS? Или, может быть, такой, как пресловутый Plan9, не делающий различий между локальными и сетевыми ресурсами? Нет, скорее всего, она будет представлять собой нечто среднее между ними, то есть операционку, позволяющую «ходить в „облака“» и тем и другим способом.

Подвижки в создании подобной ОС начались уже давно. Те же стандартные окружения рабочего стола для Linux уже научились синхронизировать данные пользователя с «облачным» хранилищем (Ubuntu One), проигрывать видеозаписи из YouTube в окне стандартного медиапроигрывателя (Totem, например, умеет это уже несколько лет), выводить информацию с веб-страниц на рабочий стол (виджеты KDE

иGoogle Gadgets) и использовать множество других способов интеграции с веб-сервисами. В этой статье я расскажу, как еще более расширить границы соприкосновения веба

иобычного Linux-десктопа. Мы рассмотрим множество приложений для работы с «облачными» сервисами, попробуем достучаться

до «облаков» из командной строки и превратим файловую систему в инструмент для работы с «облаками».

КЛИЕНТЫ «ОБЛАЧНЫХ» СЕРВИСОВ

С веб-сервисами не всегда удобно работать из окна веб-браузера. Тот же Twitter, например, на широком экране занимает максимум полстраницы, а вытаскивать окно Твиттера из браузера, подгонять размер этого окна

иследить за тем, чтобы случайно его не закрыть, долго и неудобно. К тому же панель навигации будет мешать. Гораздо круче посадить Твиттер в трей, чтобы он показывал новые сообщения в виде всплывающих подсказок. Как это сделать? Да просто воспользоваться одним из Twitter-клиентов. Почти для каждого популярного веб-сервиса для Linux есть созданный энтузиастами клиент. Среди Twitter-клиентов наибольшей популярностью пользуется Gwibber, который, помимо Твиттера, поддерживает еще

иIdenti.ca, StatusNet, Facebook, Flickr, Digg, FriendFeed и Qaiku. Приложение это, надо сказать, на любителя, так как оно очень тяжеловесное и зависит от различных Gnome-

веб-приложений в отдельных независимых окнах, лишенных элементов управления веббраузера.

Когда-то Mozilla запустила амбициозный проект Prism (prism.mozillalabs.com), позволяющий превратить веб-сайт в стандартное десктопное приложение со своим ярлыком, процессом управления и прочими атрибутами обычной программы. Тогда многие адепты компании заявили, что появление подобного проекта — это шаг к светлому будущему «облачного» десктопа, в котором большинство приложений будет работать в Сети, а пользователь сможет размещать их на рабочем столе и запускать без использования веббраузера. Проект благополучно загнулся (а если точнее, перерос во фреймворк для создания кастомных браузеров и связанных с web-технологиями приложений), но его

идеи живут и даже в некотором смысле процветают.

Например, пресловутый Google Chrome уже давно имеет в своем составе механизм превращения веб-сайтов в приложения. Достаточно открыть нужный веб-сайт, перейти

впункт «Меню Æ Инструменты Æ Создать ярлыки приложений…», выбрать место размещения ярлыка (рабочий стол и/или меню приложений), и — вуаля! — на рабочем столе появится ярлык, по клику на котором

вобособленном окне откроется сайт без ненужных обвесок в виде меню браузера и строк ввода/поиска. То же самое, причем даже из командной строки, можно сделать и с приложениями, установленными с помощью Chrome Web Store (по клику правой кнопкой мыши):

$ chromium --app=http://gmail.com

Достаточно интеллектуальный менеджер окон сохраняет положение и размеры окна перед закрытием и восстанавливает его на прежнем месте при следующем запуске. Функция веб-приложения есть и в браузере

Firefox. Здесь всё еще проще: достаточно перетащить favicon сайта на рабочий стол, и ярлык появится сам собой.

Это действительно удобный способ создания веб-приложений на рабочем столе, но он не лишен некоторых недостатков. В частности, лично меня сильно напрягает, что приложение будет работать под управлением хоть и лишенного элементов управления, но полноценного веб-браузера с плагинами, расширениями и всем остальным совершенно ненужным в данном случае балластом, который только сжирает память и процессор и не несет никакой пользы. Поэтому я рекомендовал бы использовать для подобных задач более

легкие решения, к примеру минималистичный браузер surf.

Браузер surf основан на движке WebKit, не имеет интерфейса и управляется с помощью клавиатурных комбинаций. Это самый легковесный и быстрый из всех браузеров, основанных на полноценном HTML-движке, а потому он

# vi /etc/gmailfs/gmailfs.conf

[account]

username = usernamegmail.com

password = пароль

[filesystem]

fsname = linux_fs_4

[logs]

level = INFO

logfile = ~/gmailfs.log

Затем нужно примонтировать файловую систему:

$ ./gmailfs.py -o allow_root none \

/путь/до/каталога

Теперь перейдем к Google Docs FS (code. google.com/p/google-docs-fs/). Эта файловая система предоставляет доступ к документам Google Docs. Использовать ее так же просто, как и все остальные ФС в нашем обзоре:

$ gmount /путь/до/каталога \

username@gmail.com

После этого в каталоге появятся подкаталоги и файлы в точно таком же виде, в каком они представлены на сайте docs.google.com. Документы можно копировать, перемещать, добавлять и удалять. Для отключения используем команду gumount:

$ gumount /путь/до/каталога

ВЫВОДЫ

Веб-сервисы способны заменить почти любое настольное приложение. Их не нужно устанавливать и обновлять. Они позволяют не беспокоиться о сохранности данных и настроек. Однако сам интерфейс веб-сервиса может не подойти некоторым пользователям или оказаться слишком тяжеловесным или назойливым. В этом случае удобнее обратиться к специализированным клиентам и файловым системам, которые, как ты смог убедиться, в достаточном количестве имеются на просторах Сети. z

БОРЬБАСУТЕЧКАМИКОРПОРАТИВНОЙ ИНФОРМАЦИИ

Всовременноммиреоднимизключевыхэкономическихресурсовявляется информация.Ктоейвладеет,тотбудетиметьуспех,втожевремяутечкаданных практическивсегдаозначаетпотерюклиентов,атоикрахкомпании.Именно поэтомусегоднятаквеликинтерескDLP-решениям,позволяющимвыявлятьи предотвращатьпередачуконфиденциальнойинформации.Выборбольшой,лидеры ещенесформировались,апредложениячастосхожипофункциям,ноотличаются логикойработыизаложеннымипринципами,поэтомуопределитьсянетакпросто.

INFO

Важныйэтап

вразвертыванииDLP

—внедрение,когда необходимочетко сформулировать требования

иожидания

и«обеспечить»DLP всемиданнымидля контроля.

WWW

РепозиторийUbuntu дляMyDLP—down- loads.medratech. com/ubuntu.

КАК ВЫБРАТЬ DLP?

Информационная безопасность стала одной из составляющих деятельности любой компании, а соответствующие риски влияют на ее рейтинг и привлекательность для инвесторов. По статистике, вероятность утечки конфиденциальной информации из-за действий сотрудника организации (инсайдера) превышает вероятность утечки в результате взлома, причем это не обязательно умышленные действия, пользователь может случайно отправить файл не тому адресату. До появления интернета контролировать деятельность сотрудников было практически невозможно. Нет, установить контроль, конечно, было реально, но технических средств для автоматизации процесса не существовало. Сейчас всё изменилось. Деловая переписка ведется по электронной почте, пользователи общаются посредством IM и VoIP, обмениваются файлами, ведут блоги, публикуют сообщения в соцсетях и т. д. Все эти каналы легко контролировать автоматически, мощность современных серверов и емкость носителей позволяют собирать и обрабатывать данные в реальном времени. Чтобы обнаружить и предотвратить передачу конфиденциальных данных на разных этапах (при перемещении, использовании и хранении), применяется целый класс систем защиты — DLP (Data Leak Prevention). На сегодня существует еще с десяток терминов-синонимов для таких систем: ILDP (Information Leak Detection & Prevention), IPC (Information Protection and Control), ILP (Information Leak Prevention) и др. Задача у них,

в общем-то, простая — мониторинг, идентификация и защита. Официальных стандартов, определяющих, какой должна быть DLP, пока не существует, поэтому разработчики по-разному смотрят на функции DLP. Часто можно встретить самые разные реализации, не всегда включающие действительно необходимое или, наоборот, напичканные ненужным функционалом, добавленным по заказу компании. Однако со временем определились некоторые требования, которыми должно обладать полнофункциональное DLP-решение. В первую очередь они касаются диапазона возможных каналов утечки:

•электроннаяпочта(SMTP,POP3,IMAP);

•программыобменаIM/VoIP-сообщениямииP2P-клиенты;

•веб-ресурсы(социальныесети,форумы,блоги),атакжепере- дачафайловпопротоколамHTTP,HTTPSиFTP;

•сетеваяпечать(SMBPrinting,NCPPrinting,LPD,ит.д.);

•внешниеустройства(USB,CD/DVD,принтеры,Bluetooth,модемы ит.п.),сетевыепапки.

Характер передаваемых данных определяется путем обнаружения специфических признаков (метки, хеш-функции, грифы) и анализа контента (статистический анализ, регулярные вы-

ОШИБКА В РАБОТЕ DLP МОЖЕТ ПРИВЕСТИ К БЛОКИРОВКЕ ВПОЛНЕ ЛЕГАЛЬНОГО ТРАФИКА И ПОМЕШАТЬ РАБОТЕ СОТРУДНИКОВ

ражения и т. п.). Хорошие системы, как правило, используют все доступные технологии, а администратор может легко создавать правила самостоятельно на основе подготовленных шаблонов.

Кроме того, DLP-система должна обеспечивать службу безопасности инструментом для анализа всех событий и архивом переданной информации. Еще одним критерием, определяющим выбор DLP, является возможность блокировать утечку данных в реальном времени. Однако специалисты по-разному относятся к этой функции, ведь ошибка в работе DLP (а ложные срабатывания случаются, особенно на этапе ввода в эксплуатацию) может привести к блокировке вполне легального трафика, а значит, помешать работе сотрудников. Поэтому многие администраторы предпочитают анализ по факту, а не блокировку.

WEBSENSE DATA SECURITY SUITE

Сайт проекта: websense.com. Лицензия: проприетарная.

ОС сервер: Windows Server 2003 R2.

ОС клиенты: Windows Vista, 7, 2003, 2008/R2. Русификация: отсутствует.

Калифорнийская корпорация Websense хорошо известна как производитель систем фильтрации веб-трафика, в частности,

в Facebook вскоре будет внедрена ее разработка для защиты при переходе по внешним ссылкам. Решения ориентированы в первую очередь на средние и крупные компании со штатом свыше 500 сотрудников и государственные учреждения. Комплекс Websense DSS за счет контроля основных каналов обмена данными позволяет в реальном времени остановить утечку конфиденциальной информации. Он работает на основе технологии цифровых отпечатков PreciseID, разработанной компанией PortAuthority Technologies, которую Websense купила в 2006 году. PreciseID обеспечивает высокую точность обнаружения конфиденциальных данных и не имеет некоторых недостатков лингвистических методов. Данные описываются при помощи «цифрового отпечатка», представляющего

WEBSENSE DSS ОПРЕДЕЛЯЕТ РЕАКЦИЮ НА ИНЦИДЕНТ ЛИБО ТРЕБУЕТ ПОДТВЕРЖДЕНИЯ ОТ ОТВЕТСТВЕННОГО СОТРУДНИКА

собой набор символов или слов документа или содержимого полей БД. Такой подход обеспечивает точную классификацию контента более чем для 400 форматов документов (включая таблицы СУБД

исжатые файлы), даже если данные перенесены или конвертированы в другой формат. Кроме PreciseID, используются другие алгоритмы: словари, точное и частичное совпадение, статистический анализ и т. д. Вместе с тем для анализа информации в продуктах Websense применяется несколько технологий Deep Content Control

иThreatSeeker (сканирование веб-сайтов и обнаружение новых угроз).

Производится мониторинг основных каналов передачи: электронной почты (SMTP), сообщений MS Exchange, HTTP/HTTPS, FTP, IM/MSN. Предусмотрена интеграция по ICAP с любым интернетшлюзом, поддерживающим этот протокол. Для мониторинга сервер Websense может устанавливаться в разрыв или использовать зеркалирование трафика (SPAN).

Websense DSS автоматически определяет реакцию на инцидент либо требует подтверждения от ответственного сотрудника. Система умеет блокировать передачу конфиденциальных данных, отправлять уведомление (специалисту службы безопасности, начальнику или владельцу контента), запускать внешнюю программу, отправлять запрос на подтверждение отправки и др. Система присваивает инциденту уникальный номер и прикрепляет к сообщению файл. Администратор задает гибкие политики с учетом бизнес-процессов компании, а в комплекте поставки уже имеется несколько десятков шаблонов и настроенных отчетов

по инцидентам и активности пользователей. Продукты Websense позволяют ограничить доступ к определенным сведениям для отдельных сотрудников или групп, защищают корпоративную документацию от внесения несанкционированных изменений. Остальные возможности включают принудительное шифрование электронной почты (через шлюз) и совместную работу с други-

ми продуктами Websense (например, со шлюзом безопасности

Websense Web Security Gateway). Поддерживается интеграция

сActive Directory, Novell eDirectory и Lotus Domino. Совместно

сWebsense DSS используется ряд других приложений, расширяющих возможности комплекса DLP:

• DataEndpoint—устанавливаетсянаконечныеПК,гдеконтро- лируетданные,передаваемыечерезUSBиприпечати,попытки сделатьскриншотыэкрана,сообщенияIMит.д.;

• DataMonitor—осуществляетмониторингканаловпередачи, чтобыопределить,кто,куда,какичтоотправляет,исопоставить

сполитикамиибизнес-процессами,снижаяриски;

•DataProtect—включаетDataMonitor,автоматическиблокирует утечкуданныхнаосновеполитик;

•DataDiscover—программадляпоискаиклассификацииконфи- денциальныхданных,которуюможноиспользоватькаквсоставе DSS,такиотдельно,нетребуетустановкиагентов.

Для управления всеми решениями Websense используется единая консоль Websense TRITON Console (Java и Apache Tomcat). Websense DSS очень просто установить. В архив уже входит MS SQL Server Express 2008 R2, но для больших сред лучше использовать полную версию. Первоначальная настройка политик производится при помощи простого мастера, создающего шаблоны с учетом страны и характера деятельности организации, в том числе имеются и региональные настройки для России.

FALCONGAZE SECURETOWER

Сайт проекта: falcongaze.ru. Лицензия: проприетарная.

ОС сервер: Windows 2003/2008 (x86/x64).

ОС клиенты: Windows XP/Vista/7/2003/2008 (x86/x64). Русификация: есть.

Относительно молодое решение, разрабатываемое российским OOO «Фальконгейз». Представляет собой программный продукт, использующий для поиска конфиденциальной информации технологии контентного, атрибутивного и статистического анализа (ключевые слова, регулярные выражения, отпечаток и т. д.). Обеспечивает контроль всех популярных каналов утечки данных, в том числе отслеживает зашифрованный трафик (HTTP/S, FTP/S, POP3/S, SMTP/S, IMAP, OSCAR, ММР, MSN, XMPP). Если в организации используется MS Exchange 2007/2010, то вся внутренняя и внешняя переписка также проверяется на соответствие политикам. Особо хочется выделить полную поддержку Skype, ведь SecureTower может перехватывать голосовой трафик, текстовые сообщения, файлы и отправляемые SMS.

Проект OpenDLP (code.google.com/p/ opendlp) предлагает комплекс инструментов для предотвращения возможных утечек информации с клиентских машин, работающих под управлением Win-

dows. Для этого на подчиненных компах устанавливается небольшой агент. Само развертывание производится

в автоматическом режиме через Netbios/SMB. Кроме того, возможно прямое сканирование систем без установки агентов в Windows (через SMB), *nix-системах (SSH) и СУБД (MS SQL и MySQL). Централизованное управление осуществляется при помощи веб-интерфейса, обмен данными с агентом производится по каналу связи, зашифрованному при