Что делать или кто виноват? 19.08.2003 Юрий Ревич
«…практические криптографические приложения нечасто взламываются математическими методами, ведь гораздо проще взломать другие части системы». Безысходность по Шнайеру… В 2000 году вышла книга известного криптографа Брюса Шнайера (Bruce Schneier) под названием «Секреты и ложь. Цифровая безопасность в мире, объединенном сетью». В довольно мрачном предисловии к ней автор признается, что, работая над книгой три года, он честно пытался найти рецепт обеспечения безопасности информационных систем, который позволил бы обнадежить читателей, но «написал уже две трети, не оставив у читателя ни малейшей надежды вообще». Суть в том, что крупнейший специалист по криптографии пришел к выводу о недостаточности традиционного подхода, основанного на превентивных мерах по защите информации. Выводы Шнайера сводятся к двум положениям: а) безопасность — это цепочка; б) предусмотреть всего нельзя. Прежде чем подробнее рассмотреть, что же следует из этих двух положений, поговорим о собственно содержании термина «безопасность в Интернете». Дело в том, что под этим обычно имеются в виду две связанные между собой, но тем не менее разные вещи. Я бы их назвал так: «приватность» и «безопасность». Нарушение приватности еще не означает нарушения безопасности. Есть люди, которые очень ревниво относятся к тому, что кто-то неизвестный может прочесть их письма или, скажем, дневник, однако есть и такие, кому на это глубоко плевать (к последним относится и ваш покорный слуга), правда, до тех пор, пока это не влечет за собой каких-то реальных последствий, например доноса вашей жене с изложением содержания переписки с посторонними лицами женского пола. Именно последнее — то есть конкретный ущерб, связанный с нарушениями приватности, а не сами нарушения, — я бы квалифицировал как угрозу безопасности. Есть и нарушения безопасности, с приватностью не связанные, — скажем, кража обезличенных номеров кредиток из баз данных Интернет-магазинов. Соответственно и стратегия ваших действий зависит от того, от чего, собственно, вы хотите уберечься. Наибольшую актуальность, разумеется, приобретают вопросы безопасности в электронной коммерции и общественной деятельности вообще (скажем, для так называемых электронных правительств) — просто потому, что это уже касается не только лично вас, но и ваших клиентов, а в пределе — все общество в целом. О компьютерной безопасности можно написать тома. Они и написаны — как специальные инструкции для программистов и администраторов сетей, так и популярные пособия для пользователей1. Беда в том, что их эффективность не выше, чем эффективность плакатов о вреде курения или наркомании. Программист бывает ленив и вообще не господь бог, а значит, всего предусмотреть не может, причем не потому, что не семи пядей во лбу, а потому, что предусмотреть всё невозможно в принципе — любую систему можно взломать хотя бы в силу того, что кто-то (пользователь) должен в нее попадать санкционированно. Пользователь же обычно действует по принципу «пока гром не грянет…» и будет упорно класть бумажник в боковой карман брюк до тех пор, пока не наткнется на шустрого воришку. Причем вероятнее всего, что ничего с ним не случится — бумажники крадут даже не у каждого второго. Лично у меня — вообще ни разу (правда, с тех пор как Саша Федоров, завхоз «Компьютерры», обещал мне все небесные кары в случае потери электронного пропуска, я проникся и стал-таки класть бумажник в карман внутренний). Вернемся к положениям Брюса Шнайера. Первое из них означает, что даже самый совершенный криптографический протокол не гарантирует вам защиту, если существуют дыры в безопасности других элементов системы, а эти дыры невероятно трудно выявить превентивно, — отсюда, кстати, следует одна вещь, которая обычно вызывает кучу споров: стоит ли публиковать сведения об обнаруженных дефектах в существующих системах. Подавляющее большинство специалистов сходится во мнении, что стоит, причем в обязательном порядке. В доказательство их правоты Шнайер проводит аналогию с авиакатастрофами — ведь все сведения об авариях публикуются открыто, хотя нет сомнений, что авиакомпании и производители летательных аппаратов с удовольствием бы скрыли эти данные. Но сведения о дырах в информационной безопасности ничуть не менее критичны для правильного функционирования жизненно важных для современной экономики систем — скажем, для обеспечения банковских транзакций; между тем банки в настоящее время предпочитают нести потери, но умалчивать об обнаруженных дефектах, что только усугубляет ситуацию.
1 (назад)Например, «Интернет-университет информационных технологий» (intuit.ru) предлагает всем желающим бесплатный заочный курс «Основы информационной безопасности», причем, судя по содержанию и требованиям к подготовке обучающихся, достаточно серьезного уровня.
|