В начале ноября в Амстердаме прошла выставка-конференция RSA Security Europe. Это уже 4-й подобного рода форум в области безопасности информационных технологий, устраиваемый американской фирмой RSA Security в Европе в качестве некоего регионального дополнения к основной конференции, которая проходит в начале каждого года в Сан-Франциско (для азиатского региона с недавних пор организован еще один форум, RSA Security Asia, ближайший из которых состоится в Токио.)

Конференции RSA давно привлекают к себе повышенное внимание специалистов по защите информации, поскольку для выявления тенденций и обмена мнениями собирают людей из самых разных сфер — от спецслужб и высших эшелонов власти до индустрии, университетских лабораторий и даже хакерского андеграунда. Какие же темы были в центре внимания на нынешней конференции?

Угрозы

Акцент в программной речи Арта Ковайелло (Art Coviello), исполнительного директора RSA Security, был сделан на то, что Интернет с каждым годом становится все опаснее. Стремительный прогресс веб-приложений и хроническое отставание в безопасности делают сетевую среду источником все больших проблем. Несмотря на огромные усилия, предпринимавшиеся индустрией за последний год, сколько-нибудь заметного прогресса в исправлении ситуации не достигнуто. Дела с безопасностью определенно стали еще хуже, хотя вызваны вполне позитивными процессами — рост количества устройств и приложений с Интернет-доступом сделал общество не только более продуктивным в работе, но и более уязвимым. Одновременно криминальные хакеры стали более сведущими и шустрыми. По оценкам аналитиков, среднее время между выявлением очередной бреши в защите и ее эксплуатацией в реальном коде сократилось с пятисот дней в 2000 году до сорока дней в настоящее время.

По оценкам американской Федеральной комиссии по связи (FCC), убытки США от онлайновой преступности в 2003 году составят около 45 млрд. долларов. От воровства персональных данных пострадало примерно 25 млн. человек, а Интернет стал одним из самых удобных мест для использования украденных реквизитов. Однако, предупредил Ковайелло, было бы ошибкой смешивать рост воровства и мошенничества с кибертерроризмом, опасность которого явно преувеличена. Террористов интересует не взлом компьютерных систем, а атаки на людей и физические цели. Так что спам для продуктивности Интернета представляет гораздо большую угрозу, нежели террористы.

Технологии

Среди технологических ответов индустрии на растущие угрозы безопасности самым заметным событием форума RSA стала презентация консорциума Trusted Computing Group (www.trustedcomputinggroup.org), представившего очередную инкарнацию своего детища — чипа TPM (от trusted platform module). Созданный в апреле текущего года, открытый консорциум TCG объединяет множество ведущих фирм компьютерной индустрии, в том числе AMD, Hewlett-Packard, IBM, Intel и Microsoft. Их цель — выработать единое программно-аппаратное решение, которое бы позволило контролировать все процессы в компьютерах следующего поколения. Первым шагом на этом пути стал TPM — относительно простая микросхема (в настоящее время изготовляемая фирмами Atmel, Infineon и National), где содержатся микроконтроллеры и полупроводниковая память, обеспечивающие работу алгоритмов хеширования и хранение зашифрованных криптографических ключей. Теперь же на конференции представлены спецификации нового чипа TPM 1.2 с расширенной функциональностью, отражающей, в частности, недавнее вступление в консорциум корпорации Sun Microsystems. Это важное событие, поскольку прежде все планы TCG фактически концентрировались вокруг Windows-платформ, отныне же сфера деятельности расширена до Unix/Linux. Кроме того, сформирована новая рабочая группа (под председательством Sony) для внедрения чипов TPM в КПК и другие портативные компьютерные устройства.

Чипы TPM версии 1.1 уже реализованы в некоторых рыночных продуктах. К примеру, у IBM — по преимуществу в ноутбуках ThinkPad, у Hewlett-Packard — в одной из настольных моделей ПК, у Intel — в одной из системных плат (см. КТ #518). Но принципиально важная роль отведена TPM на будущее, когда появится Longhorn, следующая операционная система Microsoft. Встроенная в эту ОС технология NGSCB (Next-Generation Secure Computing Base, в прошлом просто Palladium) с помощью чипа TPM обеспечит в компьютере «режим безопасного исполнения» кодов, «режим безопасного ввода/вывода», а также «безопасные процессы» применительно к каждому конкретному приложению. Участники консорциума TCG уверены, что все это сделает работу с компьютером и сетью действительно безопасной. По мнению же многих независимых экспертов, подобная технология полностью выводит компьютер из-под контроля пользователя и дозволяет делать на нем лишь то, что разрешат корпорации, государство или владельцы бессрочных авторских прав на интеллектуальную собственность.

Политика

Одна из новых, но все громче звучащих тем, — попытки государственно-политического регулирования в сфере безопасности инфотехнологий. На амстердамском форуме в полемике схлестнулись законодательная и исполнительная ветви власти Евросоюза. Представители Европарламента и Совета министров продемонстрировали публике, что имеются очень разные точки зрения на роль и место новой организации — Европейского агентства по сетевой и информационной безопасности (European Network and Information Security Agency), где мыслится формировать единую для всей Европы политику и доносить ее до бизнеса.

Решение о создании агентства только-только принято Европарламентом. Уже намечено, что к работе оно приступит с 1 января 2004 года, положен бюджет в 24,3 млн. евро, однако структура нового органа тут же стала предметом ожесточенных дебатов. Парламент планировал сравнительно небольшую координирующую организацию, численностью человек двадцать, но Совет министров ЕС тут же потребовал создать руководящий орган с представительством от каждого государства-члена (их уже 25) и еще с шестью представителями от бизнеса. Любое государство, входящее в ЕС, начинает нервничать, когда за него пытается принимать решения какой-то внешний орган, в котором к тому же может и не быть собственного представителя. Кроме того, больше 80% европейских компьютерных сетей находится в частных руках, поэтому для успеха мероприятия принципиально важно тесное сотрудничество и включение в состав агентства представителей бизнеса.

Разумеется, на подобном фоне возникают сильные опасения, что конструктивное в целом начинание рискует утонуть в организационном болоте. По словам Арта Ковайелло, индустрия «обеспокоена излишним рвением правительственных структур в попытках регулирования вопросов инфобезопасности; они не настолько хорошо знакомы с предметом, чтобы управлять им, а двигаются вперед гораздо медленнее, чем промышленность… никакое законодательство не сможет учитывать, что различные компании имеют очень разные требования к безопасности».