Что делать или кто виноват? 19.08.2003 Юрий Ревич
Вот что писал Шнайер по поводу дыр, которые не связаны с собственно компьютерными проблемами2: «Добросовестные пользователи тоже могут создавать проблемы — просто потому, что их мало заботит безопасность. Им нужна простота, удобство и совместимость с существующими (небезопасными) системами. Они выбирают неподходящие пароли, записывают их, раздают друзьям и знакомым свои закрытые ключи, оставляют включенным компьютер с зарегистрированным пользователем и так далее. Нелегко всучить дверной замок тем, кто не хочет обременять себя ключами». В связи с этим отметим, что техническая и организационная части связаны теснее, чем кажется, недаром Шнайер замечает, что «плохо спроектированный интерфейс может сделать программу криптозащиты жесткого диска совершенно ненадежной». Но даже если вы внимательно проанализировали вашу систему на предмет слабых звеньев, устранили все мыслимые, как вам представляется, угрозы с привлечением лучших специалистов и учетом опыта всех предыдущих взломов, тем не менее, согласно известной поговорке, на всякую хитрую гайку найдется болт с нужной резьбой, — это второе положение Шнайера. Когда я установил у себя в деревне металлические ставни и укрепленную дверь с гаражным замком, то мне резонно указали, что бревенчатые стены моего домика можно в пять минут распилить бензопилой. Согласен, поэтому обеспечение безопасности есть не что иное, как управление рисками. В данном случае я надеюсь, что для вора подобные действия — тащить бензопилу, рисковать поломкой цепи о какую-нибудь железку в стене и т. п. — будут чересчур, и он просто откажется от своих гнусных намерений. Любопытный пример на эту тему можно привести из области, непосредственно примыкающей к информационной безопасности, — защиты ПО от пиратского копирования. Программисты из компании ABBYY для защиты своего знаменитого FineReader’a применили сразу много приемов — здесь и ключевая дискета, и многоуровневая защита (когда взломанный, казалось бы, продукт через некоторое произвольное время перестает работать), и выпуск множества внешне неразличимых, но имеющих разную внутреннюю структуру вариантов основного файла программы, причем постоянно придумывается что-то новое, — и пираты отстали! Возиться со всем этим без надежды на полный и окончательный успех оказалось нецелесообразно, учитывая, что облегченная версия FineReader, кроме всего прочего, прилагается к каждому сканеру совершенно бесплатно. Нормально взломанный FineReader на пиратском рынке — большая редкость3. Из всего вышесказанного следует, что обеспечение безопасности — процесс, а не единовременное мероприятие. В пределе Шнайер предлагает (и его фирма Counterpane Internet Security осуществляет именно такую деятельность) посадить команду экспертов на круглосуточный анализ сетевого трафика. То есть в предотвращении проникновений и вообще реагировании на угрозы в сети корпорации-клиента делается ставка на людей, а не на автоматические системы — именно в этом заключается главное предложение Шнайера. Представляется, что ничего революционного в этом нет — вопрос только в стоимости и экономической целесообразности подобного рода затрат на обеспечение безопасности. Ясен пень, что если нечто подобное может позволить себе, скажем, ЦРУ или крупная корпорация, то для какого-нибудь онлайнового магазинчика это совершенно неприемлемое решение. Вообще этот вывод Шнайера следует отнести скорее к разряду коммерческих инициатив, чем концептуальных положений теории обеспечения безопасности. …и выход по Касперскому А вот автор известных антивирусных программ Евгений Касперский предлагает капитальный, по его мнению, выход из сложившейся ситуации: ввести для каждого пользователя идентификационный номер, ID. Таким образом каждого компьютерного хулигана можно будет легко вычислить и на корню пресечь нарушения безопасности, а хулигана примерно наказать. Касперский утверждает, что при такой системе удастся отсечь по крайней мере любителей, которые составляют 99% контингента вирусописателей и взломщиков сетей. Добавим от себя, что в рамках концепции Касперского должна была бы значительно облегчиться и борьба со спамом. Беда только в том, что все это, к величайшему сожалению, — идеализм чистой воды. Почему?
2 (назад) www.ice.ru/otstavnov/Compunomika/v0n05a05.html.
|