«…практические криптографические приложения нечасто взламываются математическими методами, ведь гораздо проще взломать другие части системы».
Брюс Шнайер

Безысходность по Шнайеру…

В 2000 году вышла книга известного криптографа Брюса Шнайера (Bruce Schneier) под названием «Секреты и ложь. Цифровая безопасность в мире, объединенном сетью». В довольно мрачном предисловии к ней автор признается, что, работая над книгой три года, он честно пытался найти рецепт обеспечения безопасности информационных систем, который позволил бы обнадежить читателей, но «написал уже две трети, не оставив у читателя ни малейшей надежды вообще». Суть в том, что крупнейший специалист по криптографии пришел к выводу о недостаточности традиционного подхода, основанного на превентивных мерах по защите информации. Выводы Шнайера сводятся к двум положениям: а) безопасность — это цепочка; б) предусмотреть всего нельзя.

Прежде чем подробнее рассмотреть, что же следует из этих двух положений, поговорим о собственно содержании термина «безопасность в Интернете». Дело в том, что под этим обычно имеются в виду две связанные между собой, но тем не менее разные вещи. Я бы их назвал так: «приватность» и «безопасность». Нарушение приватности еще не означает нарушения безопасности. Есть люди, которые очень ревниво относятся к тому, что кто-то неизвестный может прочесть их письма или, скажем, дневник, однако есть и такие, кому на это глубоко плевать (к последним относится и ваш покорный слуга), правда, до тех пор, пока это не влечет за собой каких-то реальных последствий, например доноса вашей жене с изложением содержания переписки с посторонними лицами женского пола. Именно последнее — то есть конкретный ущерб, связанный с нарушениями приватности, а не сами нарушения, — я бы квалифицировал как угрозу безопасности. Есть и нарушения безопасности, с приватностью не связанные, — скажем, кража обезличенных номеров кредиток из баз данных Интернет-магазинов. Соответственно и стратегия ваших действий зависит от того, от чего, собственно, вы хотите уберечься. Наибольшую актуальность, разумеется, приобретают вопросы безопасности в электронной коммерции и общественной деятельности вообще (скажем, для так называемых электронных правительств) — просто потому, что это уже касается не только лично вас, но и ваших клиентов, а в пределе — все общество в целом.

О компьютерной безопасности можно написать тома. Они и написаны — как специальные инструкции для программистов и администраторов сетей, так и популярные пособия для пользователей¹. Беда в том, что их эффективность не выше, чем эффективность плакатов о вреде курения или наркомании. Программист бывает ленив и вообще не господь бог, а значит, всего предусмотреть не может, причем не потому, что не семи пядей во лбу, а потому, что предусмотреть всё невозможно в принципе — любую систему можно взломать хотя бы в силу того, что кто-то (пользователь) должен в нее попадать санкционированно. Пользователь же обычно действует по принципу «пока гром не грянет…» и будет упорно класть бумажник в боковой карман брюк до тех пор, пока не наткнется на шустрого воришку. Причем вероятнее всего, что ничего с ним не случится — бумажники крадут даже не у каждого второго. Лично у меня — вообще ни разу (правда, с тех пор как Саша Федоров, завхоз «Компьютерры», обещал мне все небесные кары в случае потери электронного пропуска, я проникся и стал-таки класть бумажник в карман внутренний).

Вернемся к положениям Брюса Шнайера. Первое из них означает, что даже самый совершенный криптографический протокол не гарантирует вам защиту, если существуют дыры в безопасности других элементов системы, а эти дыры невероятно трудно выявить превентивно, — отсюда, кстати, следует одна вещь, которая обычно вызывает кучу споров: стоит ли публиковать сведения об обнаруженных дефектах в существующих системах. Подавляющее большинство специалистов сходится во мнении, что стоит, причем в обязательном порядке. В доказательство их правоты Шнайер проводит аналогию с авиакатастрофами — ведь все сведения об авариях публикуются открыто, хотя нет сомнений, что авиакомпании и производители летательных аппаратов с удовольствием бы скрыли эти данные. Но сведения о дырах в информационной безопасности ничуть не менее критичны для правильного функционирования жизненно важных для современной экономики систем — скажем, для обеспечения банковских транзакций; между тем банки в настоящее время предпочитают нести потери, но умалчивать об обнаруженных дефектах, что только усугубляет ситуацию.

СОРМ защищает и… сдает Действия, направленные на охрану приватности, автоматически повышают и вашу безопасность, но не всегда наоборот — например, если ваш компьютер сам по себе надежно защищен, то все равно всегда можно перехватить вашу переписку и вообще любые сетевые транзакции на уровне провайдера. Сейчас вопли насчет СОРМ-2 поутихли, однако все забывают, что это — реальность нашей жизни, данная нам в ощущениях. Внимательный анализ публикаций, посвященных недавнему скандалу с утечкой нескольких миллионов персональных данных пользователей МТС, позволяет сделать вывод, что произошло одно из двух: либо в недрах МТС действует организованная преступная группа (что маловероятно), либо утечка произошла по каналам СОРМ (что гораздо вероятнее). Я не буду цитировать многочисленные источники по этому делу, замечу лишь, что любые другие предположения приходится отнести к разряду необоснованных. Скажу также, что автор тут строго объективен — я не являюсь принципиальным противником СОРМ и не страдаю паранойей в отношении спецслужб, просто иных выводов из доступных сведений сделать невозможно. Стандартная защита от СОРМ и подобных зарубежных систем заключается в использовании стойкого шифрования (среди частных лиц наиболее популярна программа PGP). Однако это палка о двух концах — зашифрованная переписка сама по себе легко может привлечь внимание, даже если вы шифруете только любовные послания. Лично я, если бы и стал использовать шифрование, то совместно со стеганографией, которая позволяет скрыть сам факт переписки — по крайней мере от того, кто и не догадывается, что вы что-то там замышляете.

1 (назад)Например, «Интернет-университет информационных технологий» (intuit.ru) предлагает всем желающим бесплатный заочный курс «Основы информационной безопасности», причем, судя по содержанию и требованиям к подготовке обучающихся, достаточно серьезного уровня.