Угрозы реальные и мнимые

Автор: Киви Берд

Самым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил выражение «электронный Перл-Харбор». Предупреждая законодателей о постоянно растущих угрозах со стороны кибертеррористов, Хамре дал красочные предсказания новых атак, которые «будут направлены не против военных кораблей, стоящих в гавани; теперь они будут направлены против инфраструктуры».

Люди, как известно, легко западают на броские и запоминающиеся образы, а потому эффектная и доходчивая формула «электронный (или цифровой) ПерлХарбор» быстро стала как бы самоочевидным аргументом едва ли не во всех дискуссиях и исследованиях, касающихся защиты критических инфраструктур. Тем более что ныне не подлежит сомнению ключевая роль информационных технологий, компьютерного оборудования и программного обеспечения во всех областях, которые обычно принято относить к критично важным для общества и государства инфраструктурам: энергетике, водоснабжению, транспорту, коммуникациям, финансово-банковским сетям и т. д.

Реальность такова, что ныне практически все эти системы и сети оказываются весьма сложным и замысловатым образом взаимопереплетены и взаимозависимы, хотя и управляются совершенно разными структурами. С точки зрения информационной безопасности это означает, что насущно необходима выработка единой стратегии защиты для критической инфраструктуры в целом. Однако взгляды на то, как должна выглядеть эта стратегия, сильно различаются.

Самая распространенная точка зрения, явно доминирующая в государственных, промышленных и бизнес-кругах, сводится к тому, что информационная безопасность — это комплекс технических мероприятий, планомерно улучшая которые можно повышать степень защиты. Иначе говоря, создавая лучшие модели контроля доступа, совершенствуя криптографические протоколы, оттачивая методы выявления проникновений и защиты от вредоносных кодов, разрабатывая более и более мощные инструменты для оценки систем — можно и должно решить очевидные проблемы с безопасностью в сегодняшних компьютерных сетях вообще и в критических инфраструктурах в частности.

Однако есть и в корне иная точка зрения, которой придерживаются главным образом независимые исследователипрофессионалы. Среди них достаточно известных и весьма авторитетных специалистов с опытом работы в большой индустрии и государственных службах, благодаря чему и эту позицию иногда удается доводить до сведения властей и средств массовой информации. Но в целом альтернативный взгляд на инфобезопасность пока что известен общественности очень плохо. А потому стоит рассказать именно о нем.

В сентябре 2003 года под эгидой CCIA, всеамериканской Ассоциации компьютерной и коммуникационной индустрии, был опубликован 24-страничный аналитический документ под названием «КиберНебезопасность — цена монополии».

В этой работе семь известных экспертов по защите информации (Дэн Гир, Питер Гутман, Чарльз Пфлигер, Брюс Шнайер и др.) дали развернутое обоснование идее,согласно которой абсолютное доминирование в компьютерах программного обеспечения Microsoft (92—95%) привело к образованию, по сути дела, «софтверной монокультуры», что является очевидной угрозой для национальной безопасности.

Термин «монокультура» обычно применяется биологами для описания систем с очень низким уровнем генетического разнообразия и, как естественное следствие, с большой степенью риска подверженных опасностям вымирания. В частности, монокультура стала бичом сельского хозяйства, где ради максимальных урожаев с единицы площади нередко засаживают все одной, самой плодовитой и выгодной культурой, а появление неизвестного прежде паразита-вредителя превращается во всеобщую катастрофу. Как это было, например, со знаменитым картофельным голодом в Ирландии XIX века, вызванным гибелью урожаев из-за грибкового паразита фитофторы, или с массовым уничтожением виноградников в Европе из-за нашествия тли филлоксеры, вызвавшей чуть ли не разруху в индустрии виноделия.

Дэн Гир, технический директор известной «хакерской» фирмы @stake и главный соавтор отчета «КиберНебезопасность», в свое время защитил в Гарварде диссертацию по биостатистике. Именно он и углядел характерные признаки монокультуры в ситуации, сложившейся в компьютерносетевой сфере из-за тотально утвердившейся на рабочих станциях и серверах операционной системы Microsoft Windows.

К тому времени по Интернету уже прокатились несколько массовых эпидемий, вызванных вирусами-червями вроде Slammer и Blaster, а внушительные масштабы заражения были в первую очередь обусловлены редкостным единообразием программного обеспечения. Как в биологии, так и в компьютерных сетях представляется неоспоримым, что в условиях большего «генетического разнообразия» систем реакция на любые вирусные атаки будет более гибкой и жизнестойкой.

Нет никакого сомнения, что это прекрасно понимают и в Microsoft. Однако для бизнеса корпорации модель монокультуры обеспечивает наибольшую прибыль, а потому и в текущих разработках ПО делается все возможное для сохранения и закрепления статус-кво. Авторы отчета, доказывая, что всякая инфраструктура может считаться безопасной лишь при условии, когда на одну «культуру» приходится не более 50% общей массы, и одновременно понимая, что по собственной воле Microsoft вряд ли когда-нибудь озаботится всеобщим благом, решили обратиться с призывом к органам власти. В сложившихся условиях, уверены авторы, государство и общество должны настоять, чтобы корпорация Microsoft сделала по крайней мере три шага к созданию более разнообразного и безопасного киберпространства:

1) Открыто опубликовала спецификации интерфейсов ко всем основным функциональным компонентам своего ПО, как MS Windows, так и MS Office.

2) Поощряла разработку альтернативных источников функциональности платформы — взяв за образец крайне успешную технологию «plug and play» для аппаратных компонентов. 3) Совместно с широким консорциумом поставщиков «железа» и ПО разрабатывала открытые спецификации и интерфейсы на будущее, подобно тому, как в интернет-сообществе создаются новые протоколы для Сети…

Каковы же основные итоги этой интересной публикации? Лично для главного автора Дэна Гира все закончилось немедленным — в ту же неделю — увольнением с высокого поста в @stake, поскольку головным бизнес-партнером фирмы была корпорация Microsoft. Государственные структуры США в открытую не прореагировали на «КиберНебезопасность» практически никак. Но втихую Национальный научный фонд вскоре выделил многомиллионный грант исследовательскому центру CyLab при Университете Карнеги-Меллона — на изучение проблем инфобезопасности в условиях софтверной монокультуры. Грубо говоря, перед CyLab поставили задачу по поиску своего рода презервативов для «безопасного секса» между компьютерами в условиях общей для всех программно-операционной платформы. Судя по всему, сколь-нибудь заметных успехов на этом поприще достичь пока не удалось.

Другое многообещающее направление, активно разрабатываемое ныне в качестве более эффективной альтернативы традиционным — и, похоже, тупиковым — взглядам на защиту сетей, тесно связано с развитием экономических моделей и стимулов. То, что традиционные воззрения на обеспечение инфобезопасности не ведут никуда, кроме тупика, свидетельствуют многие факты, не подлежащие сомнению.

В частности, всякое усложнение программы (количество строк кода) напрямую связано с возрастанием рисков, поскольку сложность системы — главный враг ее безопасности. Ожидать упрощения программ в обозримом будущем абсолютно нереалистично. А значит, будут постоянно плодиться опасные и трудные для выявления баги-уязвимости, в связи с чем неиз бежны частые выпуски патчей-заплаток, которые тянут за собой новые баги, а значит — новые заплатки к уже выпущенным патчам. Причем конца этой нудной и всем опостылевшей тягомотине не видно.

С другой стороны, в экономике давно и хорошо известно, что в тех случаях, когда сторона, отвечающая за безопасность системы, непосредственно не страдает от того, что защита не срабатывает, практи— чески наверняка можно ожидать появле-ния серьезных проблем. Очень ярко и наглядно это просматривается на примере индустриальных предприятий, загрязняющих окружающую среду. Никакие протесты, уговоры и абстрактные угрозы не имеют на них абсолютно никакого воздействия. Но зато когда в государстве принимаются законы, наказывающие конкретных отравителей экологии очень серьезными штрафами и уголовными преследованиями виновных, тогда появляются реальные стимулы. И тут уже защита природы начинает волновать не только озабоченную нечистотами общественность, но и гадящую под всех промышленность.

Эту же картину без особого труда можно спроецировать и на мир инфотехнологий, поскольку инфобезопасность тоже является очень важным для общества потребляемым ресурсом, пусть и довольно своеобразным.

Но с тем принципиальным отличием, что здесь поставщики систем безопасности (программных и аппаратных средств, сетевых сервисов) по сию пору не несут практически никакой материальной или уголовной ответственности за допущенные в их продуктах баги и «дыры». На эту тему в последние годы много пишут и выступают уже упоминавшийся Брюс Шнайер и кембриджский профессор Росс Андерсон. Как подчеркивают эти и другие авторы, доходящая до абсурда ситуация с бесконечным латанием постоянно плодящихся дыр неизбежно будет продолжаться до тех пор, пока у компаний не появятся ощутимые стимулы, повышающие их ответственность за безопасность выпускаемой продукции и предоставляемых сервисов.

Говоря в целом о «науке инфобезопасности», нельзя не отметить, что науки как таковой здесь пока не существует. В отличие от, скажем, криптографии — наиболее древнего и потому глубоко исследованного подраздела защиты информации. У криптографов, в частности, имеются вполне строгие математические модели, позволяющие строить алгоритмы любого нужного уровня стойкости и доказуемо противостоящие всем известным атакам. Для защиты компьютерных сетей и систем в целом, к сожалению, ничего подобного не существует. Однако работы в данном направлении ведутся весьма активно.

Топология сложных сетей — это пока лишь нарождающийся, но весьма перспективный инструмент для анализа информационной безопасности. Все компьютерные сети — от глобального Интернета до децентрализованных пиринговых сетей — являются по своим свойствам сложными, однако возникают из достаточно элементарных взаимодействий множества единиц на основании простых базовых правил. Эта самонарождающаяся сложность, вкупе с сильной неоднородностью элементов, имеет много общего с социальными сетями и даже с метаболическими цепями в живых организмах. Также в последнее время стало заметным направление сетевого анализа, развивающееся на границе между социологией и физикой твердого тела. Исследователи берут идеи из всех подходящих дисциплин, вроде теории графов, к примеру, и на их основе создают инструменты для моделирования и изучения сложных сетей. Отмечено, что взаимодействие науки о сетях с теорией инфобезопасности предоставляет весьма интересный мост к эволюционной теории игр — особого ответвления экономики, ставшего весьма популярным при изучении поведения людей и животных.

Топология сети может сильно влиять на динамику столкновений. Например, атакующая сторона часто пытается разомкнуть сеть или увеличить ее диаметр, разрушая узлы или ребра, в то время как защитник противодействует этому с помощью разных механизмов, обеспечивающих сети гибкость. На основе этих идей удается весьма интересно моделировать и действия полиции по обезглавливанию террористической организации, и, скажем, деятельность тоталитарного режима по организации наблюдения за политическими активистами. Научно-исследовательские структуры, работающие для полиции, в последнее время с большим интересом занимаются сетевой наукой, пытаясь установить, насколько она может быть полезна на практике для анализа тайных операций — организуемых как врагами властей, так и контртеррористическими силами.

Насколько эффективны окажутся данные идеи в борьбе с такими сетями, как «Аль-Каида», покажет лишь время. Однако не подлежит сомнению, что нарабатываемый новой наукой инструментарий оказывается весьма полезен для анализа безопасности в инфраструктуре компьютерных сетей.

И здесь же уместно отметить еще один «теоретический» момент, очень важный в практических приложениях. По мере того как системы становятся все более сложными и взаимопереплетенными, у владельцев таких систем отчетливо растет искушение попытаться переложить проблемы надежности на плечи других. В связи с этим ныне учеными начат активный поиск таких протоколов и интерфейсов, которые были бы «стратегически непробиваемыми». Иначе говоря, в саму их конструкцию должны быть заложены принципы, уравновешивающие стимулы всех главных участников так, чтобы никто не мог получить преимуществ путем жульничества. Потому что исключение мошенничества и любого другого вредного для остальных поведения уже на начальном этапе конструирования сетевой инфраструктуры — это намного более привлекательный подход, нежели изнуряющие и малоэффективные попытки латаний-исправлений впоследствии.

ПАРАЛЛЕЛИ: Опасная безопасность

Автор: Георгий Пачиков

Пару лет назад я был в Шотландии. Мы летели из Эдинбурга в Лондон, и у одного из ребят нашей группы нашли крохотный перочинный ножичек. Брелок размером в пару сантиметров. В результате его обыскали так, как, наверное, не обыскивают наркокурьеров из Панамы. Даже раздели догола в специальной комнате. Разве что до пальпации не дошло!

Позже, уже в Лондоне, мы, конечно, эту ситуацию живо обсуждали: «Какой кошмар! Как можно! За кого они нас принимают…» А я стою и вдруг вижу — у одного из обсуждавших происшествие молодых людей в рюкзаке из накладного кармана-сеточки торчит огромный кинжал! И никто, никто его не остановил. Просто не обратили внимания. Видимо, все внимание без остатка ушло на несчастного владельца сувенира.

А недавно журналисты пронесли в самолет муляж бомбы, оставшись никем незамеченными. Таким образом службы тратят силы, борются с нормальными пассажирами вроде нас с вами. Но если кому-то надо что-нибудь пронести, то это, оказывается, совсем не трудно сделать. Скажите, зачем нам нужна такая «безопасность?»

Ситуация с вирусами очень похожа на ситуацию с мировым терроризмом.

В первый раз я испытал на себе действие вируса, когда у меня с жесткого диска исчезли все архивы с фотографиями. Часть удалось восстановить, но накопившиеся за последние пару недель снимки я перенести на компакт-диски не успел. И в первый момент очень корил себя. Но потом задался вопросом, почему я должен постоянно опасаться каких-то вирусов, троянов, спама, червей? Откуда берется такое количество этих достаточно высокотехнологичных разработок?

В свое время программы были очень маленькие, а программирование являлось настоящим искусством. Вспомните «Коммодор 64». В нем было установлено всего 64 Кбайт памяти, куда программисты умудрялись загрузить операционную систему и игры. У меня есть знакомый разработчик примерно такого уровня квалификации. И как-то он похвалился тем, что создал очень эффективный вирус из чистой любви к искусству. Говорил, что никак не может решить, выпускать его или нет.

Конечно, и сейчас остались энтузиасты, пишущие вирусы ради сомнительной славы. Но в основном, и здесь я соглашусь с Евгением Касперским, вирусы пишут профессионалы для борьбы с конкурентами или для рассылки спама. Звонкая монета не терпит романтики.

Очевидно, «безопасность» уже давно превратилась в прибыльный бизнес. Огромное количество компаний поднялись на этой волне буквально из ничего. Аналогично и в области программного обеспечения. Вырос большой и богатый рынок. Но это не создание новых сервисов. Это не улучшение качества продуктов. Появилась причина для высасывания из бюджетов огромных денег на войну, на сражение с вирусными атаками. Можно представить, сколько народу работает и получает зарплату в Microsoft только за устранение пробелов в безопасности и создание антивирусных заслонов.

Всевозможные вирусные эпидемии (или якобы эпидемии) предоставили IT-службам возможность получать не только нагоняи и выговоры от руководства, но и большие бюджеты на «укрепление вирусной обороны» и проекты по защите информации.

В качестве лекарств, кроме антивирусов, часто предлагают применять сетевые экраны. Лишь частично решая проблему, они являются хорошим примером, за счет чего это делается. Сотрудники компаний, где установлены мощные брандмауэры, лишены доступа ко многим интернет-сервисам. А я, например, никак не могу разослать красочное 3D-поздравление своим коллегам в других компаниях, потому что мое послание потеряется у них еще на пороге сети. Борьба с «сетевым» терроризмом опять ведется за счет ограничения свободы.

Ситуация не отличается от начавшейся намного раньше борьбы с вирусами человеческими. Защищать компьютеры антивирусами или прививать людей вакцинами от гриппа/полиомиелита/гепатита — очень большое и привлекательное поле для бизнеса. А сколько люди тратят денег на лечение того и другого! На фармакологическом рынке расплодилось огромное количество поддельных и просто бесполезных лекарств. И они даже кому-то помогают! Потому что их действие часто объясняется вовсе не химией, а психологией. Некоторым даже важнее чувство защищенности, чем сама защищенность. Наверняка появились или скоро появятся и поддельные/бесполезные антивирусные программы, декларирующие абсолютную защиту компьютера от вирусной угрозы. И тут нам тоже придется проявлять осторожность.

А главная причина обострения ситуации — поменялась среда, в которой мы живем. Конечно, партизанское движение существовало давно. И это был в какой-то мере терроризм. С тех пор очень изменились и расширились технические средства. Но осталась главная проблема терроризма — к нему нельзя быть заранее готовым. Удар может быть нанесен с любого направления, в том числе и из Интернета. Компьютер был задуман как помощник человека, а превратился в оружие. Так же, как это случилось с самолетами в 2001-м и с полонием-210 (ранее использовавшимся преимущественно в медицинских целях) в 2006-м…

Это наша плата за свободу. Которую в угаре борьбы за безопасность начинают у нас потихоньку отбирать. Я десять раз подумаю, стоит ли мне лететь в Штаты или нет, зная какие унизительные процедуры проверки там придется проходить. И хочется пожелать, чтобы в будущем году ситуация изменилась. Пусть не кардинальным образом, но в лучшую сторону. Когда под флагом борьбы «за безопасность» нас не будут заставлять раздеваться догола в аэропорту или демонстрировать «компетентным органам» личные фотографии в домашнем компьютере.

СЕЛО ЩЕПЕТНЕВКА: Пять процентов

Автор: Василий Щепетнев

Четвертого февраля 1969 года на уроке географии я сделал открытие. Сначала-то была история. Я скучал, разглядывал картинки в учебнике. Одна картинка зацепила и никак не отпускала. На ней изображено было крестьянство накануне коллективизации. Бедняки, самые хорошие люди, высоколобые, с умными, но скорбными лицами, середняки, из названия понятно, что людишки так себе, серединка наполовинку, и кулаки — злобного вида бородатые, толстощекие, пузатые, с поросячьими глазками мужики в поддевках, сапогах и непременных картузах на головах.

Было кулаков всего пять процентов от деревенского населения. Зато вредили они вместе со своими прихвостнями-подкулачниками изрядно. А на географии нам рассказали, что в современной Великобритании сельским хозяйством занимаются пять процентов населения.

Тут-то меня и осенило: на истории пять процентов, и здесь, на географии, тоже пять. Не значит ли это, что к сельскому хозяйству особенно хорошо приспособлены пять процентов любого населения в любой стране?

Так родилась частная теория пяти процентов.

Потом пришла пора и общей. Почти в каждом классе есть один-два человека, превосходящие остальных на голову в каком-либо умении — рисовать, петь, драться, играть в футбол, решать тригонометрические задачи, наушничать, стрелять из всего, что стреляет, заниматься пионерскими и комсомольскими делами, воровать, выращивать кактусы, собирать радиоприемники…

Вероятно, заключил я, один человек из двадцати будет заметно выделяться среди остальных в любой области человеческой деятельности. Один из двадцати — те же пять процентов!

И тут же на ум пришло первое следствие «пятипроцентного закона» — эффективность любой деятельности снижается, если в ней заняты более пяти процентов пригодного к тому населения. Вот, к примеру, комсомол: пока принимали в него лучших, была живая, активная организация, а сейчас, когда в нее чуть не палкой загоняют — фанера.

Мне не терпелось поделиться открытием с народом, однако первые попытки просветить окружающих большого восторга не встретили. Как это — лишь каждый двадцатый призывник достоин служить в армии? Ты, конечно, этим двадцатым не будешь, верно? Сам в институт намыливаешься, пусть другие отдуваются!

Я шумел, пытаясь доказать: пять процентов отдуваться — в смысле мучаться — не будут. Для них служба станет не мучением, а радостью. На пенсию силой увольнять придется. И потом, отчего же солдату не пойти в институт — танковое училище, сержантскую академию? Наши люди в космос летают, атомные ледоколы строят, моря рукотворные создают, скоро водопровод в школу проведут с канализацией, а в армии как шагали по плацу, так и шагают. Брат Петькин рассказывал: за службу три раза из автомата пострелял, вот и вся боевая подготовка. Скучно.

Изучаем историю Великой Отечественной, я твержу, что лишь один генерал из двадцати стратег, а остальные — середняки. Что при любых оккупантах пять процентов населения пойдут на все, чтобы выслужиться перед новой властью, а другие пять уйдут в подполье и будут ненавистных злыдней отстреливать, взрывать и пускать под откос.

А остальные девяносто, спрашивали меня. А остальные, отвечал я, по обстоятельствам. Как получится.

Мне, жалеючи, велели помалкивать.

Я честно пытался, но понял, что каждый двадцатый, пусть даже себе во вред, будет говорить то, что считает необходимым. Отсюда было совсем близко до второго следствия закона: любые пять процентов населения совершенно не приспособлены к определенному виду человеческой деятельности. Пять процентов людей ни при каких обстоятельствах не смогут сочинить симфонию, выучить латынь, не пойдут воровать, не смогут в нужное время отойти в сторонку и промолчать. Тут же внес поправку множественностей: один и тот же человек может входить в самые разные пятипроцентные группы: быть поэтом, негодным к изучению высшей математики, отличным всадником и никудышным кузнецом. Идя далее, я дошел и до процентов на проценты: если в городе четыреста восьмиклассников, из них вполне можно набрать математический класс в двадцать человек, а уж в этом классе будет особо одаренный ученик, которого не стыдно и в союзную математическую школу послать. А союзная школа, глядишь, огромный талант вырастит.