Глава 25 Заключение

Глава 25

Заключение

Марк Лойзокс, президент фирмы «Управляемые Разрушения» (Controlled Demolitions), взрывает старые здания для постройки новых. Жалуясь на «непрофессионализм» современных террористов, он утверждал в журнале Harpers Magazine (июль 1997): «Мы можем взорвать все мосты в Соединенных Штатах за пару дней… Я берусь заехать на грузовике на мост Верразано[75], взорвать мост и уехать обратно на велосипеде. И никто мне не помешает в этом».

Так как технологии усложняются, социологи приобретают более узкую специализацию. Почти для каждой области деятельности характерно, что люди, имеющие знание ее социальной инфраструктуры, также обладают знаниями по ее уничтожению.

Спросите любого врача, как кого-нибудь отравить, он сможет рассказать вам. Поинтересуйтесь у какого-нибудь аэродромного служащего, можно ли безнаказанно вывести из строя «Боинг-747», и не сомневайтесь, он знает, как это сделать. Теперь справьтесь у любого профессионала по безопасности Интернета, как «сломать» Интернет. Мне поведали примерно с полдюжины различных способов, и я знаю, что это не предел.[76]

Перед обладателем таких знаний система беззащитна. Все, что для этого нужно, – это сочетание умений и моральных качеств. Иногда даже не требуется большого навыка. Тимоти Маквей[77] натворил вполне достаточно в правительственном здании Оклахома-Сити, даже несмотря на утилитарное использование взрывчатых веществ, что вызвало бы отвращение у такого профессионала, как Лойзокс. Доктор Гарольд Шипман убил 150 своих пациентов, используя такие безыскусные методы, как впрыскивание морфия.

На первый взгляд киберпространство никак не отличается от любой другой инфраструктуры нашего общества, оно настолько же непрочно и уязвимо. Но, как я говорил в главе 2, характер нападений различен. Маквей должен был приобрести знание, прийти на частную ферму и попрактиковаться во взрывах, арендовать грузовик, нагрузить его взрывчаткой, приехать к месту теракта, зажечь запал и уйти. Доктор Шипман ничего бы не добился без медицинской практики, не обзаведясь пациентами. Наш гипотетический борец с «Боингами» должен уметь обслуживать самолеты. Они все обязаны были подобраться близко к цели, подвергнуть себя риску, осуществить задуманное, совершить ошибки. И они должны были знать, что делают.

Или подумайте о гонке ядерных вооружений. Еще не было никакой крупномасштабной эскалации вооружений, а знания по производству ядерных бомб стали достоянием публики. Почему так случилось? Потому что эти знания не являлись опасными; осуществить громоздкие технические программы, вложив в них гигантские средства, могли себе позволить только единичные государства.

Киберпространства бывают разные. Вы можете находиться в другом месте, далеко от узла, на который вы нападаете. Вы можете не иметь никаких навыков и вообще ничего, кроме программы, которую вы загрузили с первого попавшегося веб-сайта. И вы даже не подвергаетесь риску. Порядочный хакер распространит сведения о найденной уязвимости в Интернете, а преступник напишет программу-имитатор нападения, которая продемонстрирует уязвимость, и затем любой неумеха без комплексов сможет воспользоваться ею для нападения. Например, как червем филиппинского студента, инфицировавшим десять миллионов компьютеров, что повлекло 10 миллиардов долларов ущерба. Или, возможно, в некотором царстве-государстве с неразвитой правовой системой приютилась веб-страница, которая содержит приложение Java: «Щелкните здесь, чтобы „сломать" Интернет». Не очень привлекательно, так ведь?

В девятнадцатом столетии французский социолог Эмиль Дурхейм постулировал, что анонимность делает людей преступниками. Вы можете дополнить его доводы, приведя в пример психологию современного хакера: невозможность ни с кем связаться, анонимность действий и отсутствие последствий за содеянное приводят некоторых людей к антиобщественным поступкам. Миазмы, вредные влияния виртуального пространства – гарантия этого.

Технология – не панацея, она не смогла помешать Маквею или Шипману. Оба были схвачены с помощью процессов безопасности: обнаружения и реагирования. В случае Шипмана обнаружение и реагирование абсурдно не соответствовали, и он избежал должной за свою бойню кары на десятки лет заточения. Правоохранение выявило случившееся, расследование установило, кто это сделал, а закон не наказал виновного по заслугам[78].

Для социальных проблем нет технических решений. Законы жизненно важны для безопасности.

Если кто-нибудь изобретет дверь, которую невозможно вскрыть, такой же оконный замок или совершенную систему сигнализации, общество не изменится и не скажет: «Нам не нужны полиция или устаревшие законы о взломе и вторжении». Если история преступной деятельности что-нибудь и показала, так это ограниченность технологий. Мы нуждаемся в охране для наблюдения за продуктами и в полиции для расследования преступлений. Нам требуются законы, чтобы преследовать по суду мошенников в сфере электронной торговли, нарушителей компьютерной безопасности и людей, которые создают средства, облегчающие эти преступления. Мы можем внедрить наилучшие технологии для предотвращения преступлений, которые совершаются в первый раз, или для их обнаружения уже после свершившегося факта. Но мы все равно окажемся перед необходимостью полагаться на охрану для поимки преступника и на судебную систему для вынесения приговора. Мы можем сделать все возможное, чтобы помешать проведению маркетинговых исследований фирмы, включающих нелегальный сбор информации на людей, но мы также нуждаемся в законах, чтобы преследовать по суду эти нарушения.

Короче говоря, мы должны заручиться гарантией, что люди будут подвергать себя опасности при совершении преступлений в киберпространстве.

Мы также должны учиться на своих ошибках.

Когда самолет DC-10 терпит крушение, что-либо узнать об этом легко. Есть расследования и отчеты, и в конечном счете люди учатся на таких несчастных случаях. Вы можете подключиться к Air Safety Reporting System и получить детальные описания десятков тысяч аварий и несчастных случаев, начиная с 1975 года.

Крах безопасности происходит по разным причинам, но обычно не из-за шаровой молнии или внезапного удара. Наиболее успешные нападения (на банки, корпорации и правительства) не упоминаются в средствах массовой информации. Некоторые из них проходят незамеченными даже самими жертвами. Мы знаем все относительно MD-80[79], вплоть до металлургии винтового домкрата, и лишь немного о том, как нападавшие крали номера кредитных карточек с веб-узлов. Это подобно Аэрофлоту Советского Союза: официально никогда не происходило никаких аварий, но каждый знал, что иногда самолеты не достигают пункта назначения по загадочным обстоятельствам.

Предание гласности не оценивается по достоинству. Когда в 1995 году Ситибанк потерял 12 миллионов долларов из-за российского хакера, банк объявил о факте внедрения и уверил клиентов, что предпринял новые, более серьезные меры безопасности для предотвращения таких нападений в будущем. Даже в этом случае миллионы долларов были отозваны людьми, которые полагали, что их счета стали уязвимы сразу после объявления Ситибанка. В конечном счете, Ситибанк возместил убытки, но получил ясный и однозначный урок: не разглашать.

Мы обязаны предавать гласности нападения. Должны открыто анализировать, почему системы выходят из строя. Мы должны разделить информацию о нарушениях безопасности на причины, слабые места, результаты и методики. Секретность только на руку нападающим.

Недальновидная политика тех, кто стремится запретить перепроектирование, только ухудшает положение. Почему люди, покупающие программное обеспечение, не должны знать, как оно работает, в отличие от покупателей, например, автомобилей? Почему программное обеспечение должно быть освобождено от «Отзывов потребителя» (способа анализа и испытания)? Опять тайна только помогает нападающим.

И мы нуждаемся в реальной ответственности поставщиков за продукты. Это очевидно: поставщики не будут предоставлять безопасное программное обеспечение, пока это не в их интересах.

Сочетание безответственности и невозможности перепроектирования особенно разрушительно. Если исследователям запрещен анализ безопасности продукта, имеет ли смысл ограждать поставщиков от ответственности? И если поставщики не несут никакой ответственности за некачественные продукты, то как указание на недостатки может быть незаконным?

Всюду в этой книге я доказывал, что технологии безопасности имеют ограничения. Я не хочу сказать, что они бесполезны. Такие контрмеры, как криптография, защита от несанкционированного вмешательства и обнаружение вторжения, делают систему более безопасной. Технологии задерживают незрелые сценарии и случайных нападающих, которые действительно не ведают, что творят. Но эти технологии подобны рентгеновской установке и датчикам металла в аэропортах: они не делают ничего, чтобы остановить профессионалов, но препятствуют любителям.

Средний человек не способен отличить хорошую безопасность от плохой. Она так же работает и столько же стоит. (Плохая безопасность могла бы даже лучше смотреться и меньше стоить; компания, которая не слишком волнуется о безопасности, может уделять больше ресурсов для изготовления модных «примочек».) Реклама и специальная литература в обоих случаях одинаковы. Разницы не заметить, не заглянув внутрь исходного кода или «железа». И к тому же вы должны быть специалистом. Средний человек все еще не может отличить продукт высокого качества от подделки.

Мир заполнен вещами, угрожающими общественной безопасности, суть которых находится вне понимания среднего человека. Люди не могут отличить безопасную авиалинию от опасной, но 1,6 миллиона человек в Соединенных Штатах летают каждый день. Люди не всегда способны отличить качественное лекарство от бесполезного, и все же объем американского фармацевтического рынка составляет 60 миллиардов долларов в год. Люди пользуются «заезженными» каботажными судами, доверяют свои деньги не тем, кому следует, и едят обработанное мясо – не проявляя реального беспокойства по поводу своей безопасности.

В коммерции все то же самое. Когда в последний раз вы лично проверяли точность насосов бензоколонки, или счетчик такси, или информацию о весе и объеме пищевых продуктов в пакетах? Когда в последний раз вы вошли в офис здания и потребовали показать свидетельство последнего осмотра лифта? Или проверяли лицензию фармацевта?

Мы часто полагаемся на правительство для защиты потребителя в областях, где большинство людей не имеют навыков или знаний, чтобы оценить риски должным образом и сделать разумный выбор покупки. Федеральное авиационное агентство (FAA) регулирует безопасность авиатранспорта; Министерство транспорта (DOT) отвечает за безопасность автомобилей. Администрации штатов регулируют веса и меры в торговле. Вы не можете ожидать от семейства, движущегося в направлении к Диснейленду, принятия разумного решения относительно того, является ли их самолет безопасным для полета или арендованный автомобиль безопасным в движении. Мы не ждем, что балкон второго этажа гостиницы упадет на портик ниже. Вы можете спорить о том, действительно ли правительство хорошо справляется со своей ролью (так как избиратели не понимают, как оценивать риски, то они и не вознаграждают правительство за хорошую оценку угрозы), но все же благоразумнее оставить эту роль именно ему.

Но если Управлению по контролю за продуктами и лекарствами США (FDA) доверить роль управления Интернетом, то в результате государственного регулирования из Интернета, вероятно, будет вычищено все, что делает его Сетью, сама его сущность. Регулирование часто выбирает неправильные решения (сколько денег было потрачено, чтобы оснастить посадочные места в самолетах спасательными поясами, и какое количество людей реально воспользовались ими при крушении?), и оно медлительно. FDA потребовалось три с половиной года на утверждение Interleukin-2[80], что соответствует вечности в мире Интернета. С другой стороны, неспешность FDA бывает иногда на пользу: из-за нее Соединенные Штаты не имели национальной катастрофы из-за «Талиломида» (Thalidomide)[81] в масштабе Британии. И благодаря ей же продажа «Лаэтрила» (Laetrile)[82] на американском рынке так и не была санкционирована.

Или представим, что Underwriters Laboratory отвечает за безопасность киберпространства. Это частная лаборатория, которая испытывает и сертифицирует электрическое оборудование. (Они также оценивают надежность сейфов.) «Отзывы потребителей» предоставляют подобный сервис для других продуктов. Частная компания может обеспечить компьютерную и сетевую безопасность, но ценой огромных затрат. И поэтому правительство отворачивается от такой модели, а новые законы в Соединенных Штатах не признают законность оценки безопасности продуктов частыми компаниями и лицами.

Другой пример. Medical Doctors и Registered Nurses лицензированы. Инженеры, имеющие сертификаты, могут помещать буквы РЕ (зарегистрированный инженер) после своего имени. Но свидетельства значимы на местах, а Интернет глобален. И все еще нет никакой гарантии.

Все эти модели не выводят нас из затруднительного положения. Мы нуждаемся в технологических решениях, но они пока не совершенны. Мы нуждаемся в специалистах для управления этими технологическими решениями, но имеющихся специалистов мало. Мы нуждаемся в сильных законах, чтобы преследовать по суду преступников, и готовы следовать установленному порядку, но большинство атакованных компаний не хотят обнародовать случившееся.

В главе 24 я доказывал, что способов обеспечить безопасность при ограничениях технологии, кроме как задействовать процессы безопасности, нет. И что эти процессы неразумно осуществлять силами организации, правильнее привлечь профессионалов безопасности киберпространства. Это представляется единственным выходом из обрисованного выше положения.

Предположим, что решение привлечь стороннюю организацию вас устраивает.

В моей первой книге «Прикладная криптография» я писал: «Шифрование слишком важно, чтобы оставить его исключительно правительству». Я все еще верю этому, но в более общем смысле. Безопасность слишком значительна, чтобы разрешить ею заниматься любой организации. Доверие нельзя доверить случаю.

Доверие индивидуально. Один человек всецело доверяет правительству, в то время как другой может не доверять ему вообще. Различные люди могут доверять различным правительствам. Некоторые люди доверяют корпорациям, но не правительству. Невозможно проектировать систему безопасности (продукт или процесс), которая будет лишена доверия; даже человек, пишущий собственное программное обеспечение безопасности, должен вверить его компилятору и компьютеру.

К сожалению, большинство организаций не понимают, кому они доверяют. Кто-то может вслепую положиться на какую-то особую компанию без особой на то причины. (Слепая вера некоторых людей заставляет их иметь особенную операционную систему, брандмауэр или алгоритм шифрования.) Иная администрация безоговорочно доверяет своим служащим. (Я слышал, что некоторые оценивают безопасность не по тому, сколько истратили на брандмауэр, а по тому, сколько стоит системный администратор.)

Из того, что безопасность по своей сути обязана ограничивать риски, вытекает, что организации должны доверять объектам, которые ограничивают их риск. Это значит, что объекты имеют гарантию. Доверенные объекты обладают такими свойствами, как проверенный послужной список, хорошая репутация, независимые сертификаты и аудиторы. Каждое по отдельности не считается доказательством, но все вместе являются основанием для доверия.

Выбор заключается не в том, чтобы доверять организации, а в том, какой организации доверять. Для меня отдел MIS (управленческой информационной структуры) компании, в которой я работаю, вероятно, заслуживает меньшего доверия, чем независимая привлеченная организация, которая всерьез заботится о безопасности.

Безопасность – это не продукт, а процесс. Вы не можете ее просто добавить к системе уже после нападения. Жизненно важно понять реальные угрозы для системы, спроектировать политику безопасности, соразмерную серьезности угроз, и реализовать соответствующие контрмеры. Помните, что не требуются идеальные решения, но также недопустимы системы, которые можно полностью разрушить. Хорошие процессы безопасности также существенны, они помогают продукту работать.

Благоразумнее готовиться к наихудшему. Нападения и нападающие со временем только совершенствуются, а системы, установленные сегодня, могли быть к месту на 20 лет раньше. Реальным уроком Y2K[83] стала замена устаревшего кода компьютера. Мы все еще подвержены ошибкам, допущенным в аналоговых телефонных системах десятилетия назад и в цифровых сотовых системах годы назад. Мы все еще работаем с опасным Интернетом и ненадежными системами защиты пароля.

Мы также до сих пор еще имеем дело с ненадежными дверными замками, уязвимыми финансовыми системами и несовершенной юридической системой. Но все же ничто из перечисленного не является причиной крушения цивилизации и маловероятно, что станет. И мы не добьемся должной цифровой безопасности, пока не сосредоточим внимание на процессах безопасности, а не на технологиях.

Эта книга постоянно менялась. Я написал две трети книги и осознал, что мне нечем обнадежить читателя. Казалось, возможности технологий безопасности исчерпаны. Мне пришлось отложить рукопись более чем на год, было слишком тягостно работать над ней.

В начале 1999 года я разочаровался в своей консультационной деятельности. Компания Counterpane Systems давала консультации по криптографии и компьютерной безопасности на протяжении нескольких лет, и бизнес быстро развивался. В основном наша работа заключалась в проектировании и анализе. Например, заказчик приходил к нам со своей проблемой, и мы разрабатывали систему, которая была способна противостоять определенным угрозам. Или же заказчик приходил к нам с уже разработанной системой, которая должна была противостоять целому списку угроз, а мы искали просчеты в решении и устраняли их. Мы могли работать до изнеможения. Единственная проблема состояла в том, что наши изящные разработки не выдерживали столкновения с реальным миром. Хорошая криптография постоянно оказывалась неэффективной из-за плохого исполнения. Прошедшие тщательные испытания средства защиты отказывали из-за ошибок, допущенных людьми. Мы делали все, что могли, но системы все же оставались ненадежными.

От криптографии я обратился к безопасности и представлял себе проблему примерно так же, как и военные. Большинство публикаций по вопросам безопасности были проникнуты той же идеей, которую можно кратко сформулировать так: профилактические меры могут обеспечить безопасность.

Для чего используется шифрование? Существует угроза прослушивания, и шифрование должно помешать этому. Представьте себе, что Алиса общается с Бобом, а Ева подслушивает их. Единственный способ помешать Еве узнать, о чем говорят Алиса и Боб, – использовать такое профилактическое средство защиты, как шифрование. В этом случае нет ни обнаружения, ни реагирования. Нет также возможности управлять риском. Поэтому следует заранее отвести угрозу.

В течение нескольких десятилетий мы использовали этот подход к безопасности. Мы рисовали различные схемы. Мы классифицировали различных нападающих и определяли, на что они способны. Мы использовали профилактические меры, такие как шифрование и контроль доступа. Если мы можем отвести угрозы, то мы победили. Если нет – мы пропали.

Вообразите мое удивление, когда я узнал, что в реальном мире такой подход не работает. В апреле 1999 года я прозрел: безопасность связана с управлением рисками, процессы безопасности имеют первостепенное значение, а обнаружение и реагирование – реальные способы улучшить безопасность, и все это могут обеспечить лишь привлеченные независимые компании. Внезапно все стало на свои места. Так что я переписал книгу и преобразовал свою компанию Counterpane Systems в Counterpane Internet Security, Inc. Теперь мы предоставляем услуги по контролю безопасности сетей (обнаружение и реагирование).

Раньше, когда использовалась связь только по радио или телеграфу, такой подход не имел бы смысла. Обнаружение и реагирование были невозможны. Сегодняшний электронный мир сложнее. Нападающий не просто подключается к линии связи. Он взламывает брандмауэр. Он пытается украсть деньги, используя подделанную смарт-карту. Он хозяйничает в сети. Сегодняшний виртуальный мир больше похож на физический со всеми его возможностями.

Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пират-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдворен.

Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.)

В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.

Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы используем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.

И если читателю покажется, что эта книга написана в рекламных целях, то он будет отчасти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую надежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразованием нашей компании, и поясняет, чем мы занимаемся.

Вы можете узнать больше о нас на сайте www counterpane com.

Спасибо за внимание.