Что делать или кто виноват? 19.08.2003 Юрий Ревич
«…практические криптографические приложения нечасто взламываются математическими методами, ведь гораздо проще взломать другие части системы». Безысходность по Шнайеру…
Прежде чем подробнее рассмотреть, что же следует из этих двух положений, поговорим о собственно содержании термина «безопасность в Интернете». Дело в том, что под этим обычно имеются в виду две связанные между собой, но тем не менее разные вещи. Я бы их назвал так: «приватность» и «безопасность». Нарушение приватности еще не означает нарушения безопасности. Есть люди, которые очень ревниво относятся к тому, что кто-то неизвестный может прочесть их письма или, скажем, дневник, однако есть и такие, кому на это глубоко плевать (к последним относится и ваш покорный слуга), правда, до тех пор, пока это не влечет за собой каких-то реальных последствий, например доноса вашей жене с изложением содержания переписки с посторонними лицами женского пола. Именно последнее — то есть конкретный ущерб, связанный с нарушениями приватности, а не сами нарушения, — я бы квалифицировал как угрозу безопасности. Есть и нарушения безопасности, с приватностью не связанные, — скажем, кража обезличенных номеров кредиток из баз данных Интернет-магазинов. Соответственно и стратегия ваших действий зависит от того, от чего, собственно, вы хотите уберечься. Наибольшую актуальность, разумеется, приобретают вопросы безопасности в электронной коммерции и общественной деятельности вообще (скажем, для так называемых электронных правительств) — просто потому, что это уже касается не только лично вас, но и ваших клиентов, а в пределе — все общество в целом. О компьютерной безопасности можно написать тома. Они и написаны — как специальные инструкции для программистов и администраторов сетей, так и популярные пособия для пользователей1. Беда в том, что их эффективность не выше, чем эффективность плакатов о вреде курения или наркомании. Программист бывает ленив и вообще не господь бог, а значит, всего предусмотреть не может, причем не потому, что не семи пядей во лбу, а потому, что предусмотреть всё невозможно в принципе — любую систему можно взломать хотя бы в силу того, что кто-то (пользователь) должен в нее попадать санкционированно. Пользователь же обычно действует по принципу «пока гром не грянет…» и будет упорно класть бумажник в боковой карман брюк до тех пор, пока не наткнется на шустрого воришку. Причем вероятнее всего, что ничего с ним не случится — бумажники крадут даже не у каждого второго. Лично у меня — вообще ни разу (правда, с тех пор как Саша Федоров, завхоз «Компьютерры», обещал мне все небесные кары в случае потери электронного пропуска, я проникся и стал-таки класть бумажник в карман внутренний). Вернемся к положениям Брюса Шнайера. Первое из них означает, что даже самый совершенный криптографический протокол не гарантирует вам защиту, если существуют дыры в безопасности других элементов системы, а эти дыры невероятно трудно выявить превентивно, — отсюда, кстати, следует одна вещь, которая обычно вызывает кучу споров: стоит ли публиковать сведения об обнаруженных дефектах в существующих системах. Подавляющее большинство специалистов сходится во мнении, что стоит, причем в обязательном порядке. В доказательство их правоты Шнайер проводит аналогию с авиакатастрофами — ведь все сведения об авариях публикуются открыто, хотя нет сомнений, что авиакомпании и производители летательных аппаратов с удовольствием бы скрыли эти данные. Но сведения о дырах в информационной безопасности ничуть не менее критичны для правильного функционирования жизненно важных для современной экономики систем — скажем, для обеспечения банковских транзакций; между тем банки в настоящее время предпочитают нести потери, но умалчивать об обнаруженных дефектах, что только усугубляет ситуацию.
1 (назад)Например, «Интернет-университет информационных технологий» (intuit.ru) предлагает всем желающим бесплатный заочный курс «Основы информационной безопасности», причем, судя по содержанию и требованиям к подготовке обучающихся, достаточно серьезного уровня.
|