Предупредительные меры постоянно оказываются неэффективными. Устранение проблемы и выслеживание злоумышленников – очень важные этапы, но не менее важно привести все в порядок после нападения. При разработке систем следует ориентироваться на возможность их модернизации в процессе эксплуатации.
Также желательно предусмотреть специальные средства шифрования, протоколы и процедуры, которые будут использованы в чрезвычайной ситуации. Так можно сократить потери и быстрее восстановить работоспособность системы.
Контратака
Борьба за безопасность бывает иногда довольно жестокой. Нападающим легче, они могут вести нечестную игру, использовать новую, неизвестную технику нападения. Они могут использовать методы, мысль о которых даже не приходит в голову защищающимся. Они не ограничены моделью угрозы, используемой в защите.
Преимущество нападающего состоит в том, что ему достаточно найти одну незначительную брешь в обороне. Защитник, с другой стороны, должен позаботиться об отражении любого возможного нападения. Он должен все предусмотреть, он не может позволить себе упустить что-либо из виду.
И защитники пребывают в смятении, допуская глупые ошибки. Они пишут код, содержащий множество изъянов. Они не устанавливают «заплаты» и не обновляют средства безопасности. Их вера в абсолютно безопасное изделие сродни теологической. Они не понимают, каковы реальные угрозы, и, соответственно, не принимают необходимых мер.
Время работает на нападающих. Системы должны работать изо дня в день. Нападающие могут ждать, выискивая тем временем слабые места системы, до того момента, когда защитники потеряют бдительность. Они могут менять стратегию и тактику в зависимости от ситуации.
Единственный выход – перейти в наступление.
Мы не боремся с преступностью, когда делаем наши банки невосприимчивыми к нападениям; с преступностью мы боремся, когда ловим преступников. К счастью, преступники довольно глупы. Хороший эксперт по безопасности имеет достаточно высокие доходы, которые и не снились хакеру, поэтому он может господствовать на поле боя.
Когда существовала угроза ядерного нападения СССР на Соединенные Штаты, предполагалось нанести ответный удар в случае ее реализации. Взаимное уничтожение столь же абсурдно, сколь нереально создание неуязвимой системы обороны, но это работало.
Детективное агентство Пинкертона было основано в 1852 году. В самом начале своей деятельности люди Пинкертона защищали от грабителей поезда на американском Западе. Они сразу поняли, что сопровождать каждый поезд – слишком дорогое удовольствие. Они также хорошо понимали, что ограбление – сложная операция: если вы собираетесь ограбить поезд, вам понадобится свой человек в управлении железной дороги, знающий график движения поездов, дюжина людей, лошади и т. д. Немногие способны справиться с такой задачей. Так что люди Пинкертона решили следовать непосредственно за грабителями. Для них было не так уж важно, платит ли железная дорога за расследование; они ловили преступников, чтобы защитить своих клиентов.
Люди Пинкертона были непреклонны. Если бы вы ограбили охраняемый ими поезд, они обязательно бы выследили вас. Это были серьезные ребята; проводились целые вооруженные сражения против банды Hole in the Wall Gang, в которые вовлекались сотни людей Пинкертона. Имеется сцена в «Butch Cassidy and the Sundance Kid» («Грубиян Кэссиди и Малыш»), где гангстеры преследуются после грабежа поезда группой, которая не собиралась отступать. «Кто эти парни?» – спрашивает Грубиян у Малыша. Это были люди Пинкертона.
В киберпространстве нужны такие же хорошие контратаки. Сегодняшняя ситуация такова, что, если вам не грозит расплата, вас ничто не удержит от взлома. Вторжение в сеть – не игра, это – преступление. Кража денег с помощью взлома системы электронных платежей – преступление. Распространение в Интернете материала, защищенного авторским правом, – тоже преступление. И преступники должны преследоваться по закону. Судебное преследование, помимо наказания преступника, приносит дополнительную пользу. Во-первых, осужденный вряд ли пойдет на новое преступление. И во-вторых, вероятно, другие люди не станут рисковать, пытаясь сделать то же самое.
Это не призыв к «охоте на ведьм», чем уже пытались заниматься ФБР и некоторые другие организации в течение прошлого десятилетия. В восьмидесятые годы они знали немного о компьютерах и сетях, а также о компьютерных преступлениях. Опасность виделась повсюду. В 1989 году, когда NuPrometheus League похитила и опубликовала в Интернете исходный код ROM Macintosh, ФБР проводило проверку множества совершенно случайных людей. В 1990 году контрразведка провела облаву в штаб-квартире компании Steve Jackson Games, потому что компания работала над созданием ролевой игры (даже не компьютерной программы), в которой упоминались некие «киберпанки» и хакеры, а также потому, что одного из сотрудников, Лойда Бланкеншипа, подозревали в принадлежности к хакерской группировке «Легион Смерти» (Legion of Doom). В 1999 году Ассоциация контроля за копированием DVD попыталась заткнуть рот 500 веб-сайтам, чье преступление состояло только в публикации сообщения о взломе DVD-криптографии. А в 2000 году Microsoft потребовала, чтобы Slashdot удалил сообщения о закрытых расширениях к протоколу Kerberos.
Это не призыв к крайним мерам, к которым прибегали в девяностые годы. Дэвид Смит, создатель вируса Melissa, может получить от пяти до десяти лет тюрьмы[74]. Кевин Митник получил и отсидел почти пять лет, и ему запрещено пользоваться компьютером еще три года. (Все его навыки связаны с компьютерами, но ему запретили читать лекции по предмету. Чиновник, занимавшийся его досрочным освобождением, предлагал получить работу в Arby.) Кевину Поулсону был вынесен аналогичный приговор. Китайское правительство приговорило хакера к смерти за взлом банковского компьютера и похищение 87 000 долларов. (По правде говоря, в Китае казнят всех грабителей банков.) Помнится, на американском Западе в начале XIX века конокрадов часто отправляли на виселицу. Общество хотело этим показать, что не потерпит конокрадства. Правительства европейских стран продемонстрировали такое же отношение к террору в начале 70-х, когда террористов начали расстреливать на улицах. Тем самым они предельно ясно объявили: «Мы больше не играем в игры». Чрезмерно суровые приговоры, выносимые хакерам, связаны с панической реакцией общества на новую угрозу.
Это также не воззвание к тому, чтобы объявить вне закона любых исследователей или хакеров, практику «полного раскрытия» или отменить право оценивать надежность средств безопасности. Законы Соединенных Штатов запрещают «обратное проектирование» (reverse engineering) систем защиты от копирования. Индустрия развлечений вовсю лоббирует эти драконовские законы, чтобы с их помощью скрыть недостатки защиты своих продуктов. Ни в одной другой отрасли промышленности производители не пытаются запретить покупателю исследовать товар, чтобы понять, как он работает. Никакая другая промышленность не пытается помешать оценивать качество ее изделий по схеме «Отзывы потребителя». Глупо казнить гонца, принесшего дурные вести.
К чему я призываю, так это к ужесточению судебного преследования людей, вовлеченных в преступную деятельность, и к вынесению справедливых приговоров. Широко распространена такая точка зрения: «Если я сижу спокойно и не поднимаю шума, то никто не побеспокоит меня». Компании неохотно преследуют компьютерных преступников, потому что боятся мести. Действительность же такова, что до тех пор, пока мы не начнем преследовать преступников, они будут и далее распространять средства нападения и взламывать сети. Как только мы начнем наказывать их, хакерство перестанет быть столь привлекательным делом. Это не идеальное решение, так как хакеры, скорее всего, уйдут в подполье, но ситуация все же изменится. Применение в семидесятые годы жестких мер против терроризма имело два положительных эффекта: неисправимые террористы были вынуждены действовать с большей осторожностью, а другие просто сложили оружие.
Управляйте риском
Абсолютной безопасности не существует, но не всегда это является проблемой. Только в Соединенных Штатах индустрия кредитных карточек теряет из-за мошенничества 10 миллиардов долларов в год, но ни Visa, ни MasterCard не собираются сворачивать бизнес. Ущерб от краж в магазинах Соединенных Штатов составляет от 10 до 26 миллиардов долларов в год, но при этом «утруска» (как это называется) редко становится причиной закрытия магазинов. Недавно мне понадобилось заверить документ у нотариуса: эта процедура использует самый слабый «протокол безопасности», который я видел когда-либо. Однако она прекрасно служит тем целям, ради которых была разработана.
После того как вы определили угрозы, вам предстоит сделать выбор: смириться с риском, постараться снизить его или застраховаться. Если нельзя полностью обезопасить себя, нужно управлять риском. Компании, выпускающие кредитные карточки, понимают это. Ущерб от мошенничества известен. Известно также, что потери, связанные с оплатой по телефону, приблизительно в пять раз больше потерь при непосредственных расчетах по сделке с использованием кредитной карточки и что потери от сделок в Интернете еще вдвое больше. (Многие издержки от фальшивок типа «карта не настоящая» несут торговцы, которые неактивно обращались за помощью при предъявлении счета.) Они выдвигают альтернативы Интернету, такие как SET, именно ввиду повышенного риска.
Закрытая система, подобная этой, – исключение. Мое первичное опасение относительно киберпространства состоит в том, что люди не понимают опасностей и слишком верят в способность технологии устранить их. Киберпространство где-то копирует физический мир, а где-то разительно от него отличается (см. главу 2). И продукты безопасности не могут в одиночку решить ее проблемы.
Необходимо изменить отношение к средствам безопасности. Сейчас средства защиты выдаются производителями за профилактические меры, способные полностью исключить возможность нападения. Хорошее шифрование якобы предотвращает подслушивание. Хороший брандмауэр якобы предотвращает нападения на сеть. И так далее.
Принцип предотвращения угроз более подходит для формирования политики национальной безопасности, чем для организации защиты в коммерческом мире. Бизнес почти всегда связан с риском, поэтому в реальном мире большее внимание уделяется средствам обнаружения и реагирования. Веб-сайты не нуждаются в абсолютно не поддающихся взлому паролях, достаточно, если они будут защищать от нападений большую часть времени. Нет необходимости создавать абсолютно надежные смарт-карты, достаточно, чтобы механизмы обнаружения и реагирования успевали сработать вовремя. (На самом деле и это не так уж важно: в системе кредитных карточек, где вращаются многие миллиарды, используются очень слабо защищенные карты с магнитной полосой и управляемые продавцом терминалы.)
Как только вы начинаете думать о безопасности подобным образом, все остальное разваливается на кусочки. Если безопасность служит для ухода от угроз, тогда она должна оправдывать вложенные деньги. Если безопасность – управление рисками, это становится способом повысить доход. Если компания способна вычислить, как управлять опасностью, которая может возникнуть при подключении к сети их системы, то она сможет захватить большую часть рынка. Если компания кредитных карточек сумеет спрогнозировать, как управлять рисками некоторого класса клиентов, то она сможет продавать большее количество кредитных карточек. Бизнес – это всегда риск, и более востребованы те люди, которые лучше умеют управлять рисками.
Безопасность старее компьютера И промышленность, выпускающая защитные средства, думает о контрмерах как способах управлять риском. Различие огромно. Уход от угроз – как черное и белое: или вы избегаете угрозы, или нет. Управление риском неоднозначно: вы или принимаете риск, или уменьшаете его, или страхуетесь.
Безопасный компьютер – тот, который вы застраховали.
Я считаю, что будущее компьютерной безопасности – за страхованием. Можно застраховаться от чего угодно: от кражи или вандализма, от того, что какой-нибудь выродок расстреляет ваших сотрудников, и т. д. Почему в таком случае не застраховаться от нарушения цифровой безопасности?
Крупные страховые компании не упускают такую возможность. Они разрабатывают различные аспекты страхования рисков, связанных с компьютерной безопасностью: страхование внутренних сетей, страхование от нападений, приводящих к отказу в обслуживании, от подмены веб-сайта при взломе. Это трудная задача, поскольку никто не знает, с какими рисками придется иметь дело.
Излюбленная шутка страховщиков: к ним обращается некая компания, желающая застраховаться от какой-то неслыханной опасности. Между страховщиками и представителями компании происходит следующий диалог:
– Как велики возможные потери?
– Мы не знаем.
– Как может наступить страховой случай?
– Мы не знаем.
– Сколько стоит ваша компания?
– Столько-то.
– Это и будет страховой взнос, можете внести его.
Уже сейчас страховые компании предлагают страхование от хакерства, но я не думаю, что они достаточно хорошо представляют, на что идут. Большинство стратегий сложны и неуправляемы и содержат так много условий, что я не уверен, окупятся ли они когда-нибудь. Преимущество стандартизации процессов безопасности – возможность количественной оценки рисков. Если тысяча компаний используют схожие безопасности, то страховые фирмы могут выработать соответствующую политику. Так работает ADT. Компании покупают обслуживание не потому, что это делает их товарные склады более безопасными, а потому, что имеют возможность оценивать риски.
Со временем появятся два типа страхования сети. Первый тип очевиден: если кто-то вламывается в вашу сеть и причиняет вам ущерб, страховая компания компенсирует его. Но второй тип страхования даже более важен. Представьте, что кто-то проникает в вашу сеть и разоряет ваших клиентов, пользуется их конфиденциальной информацией и наносит непоправимый урон их репутации. Размер компенсации в этом случае может быть огромен. Страхование от угроз подобного типа оказывается рискованным.
Управление риском – будущее цифровой безопасности. Кто научится лучше управлять рисками, тот – победитель. Страхование – важная составляющая управления рисками. С помощью технических решений можно уменьшить риски до такого уровня, что страхование становится оправданным.
Аутсорсинг процессов безопасности
Процессы безопасности – это способ уменьшения рисков. Средства защиты сети всегда имеют недостатки: необходимы некоторые процедуры, как для того, чтобы поймать нарушителей, которые используют в преступных целях эти недостатки, так и для исправления найденных ошибок. Если атакующий является посвященным лицом, то необходим процесс, который позволит обнаружить нападение, восстановить систему после нанесенных повреждений и преследовать преступника по закону. В сложных системах обычно присутствует множество уязвимых мест, и это может поставить под угрозу функционирование программ и оказание многих услуг (вспомните сотовые телефоны и DVD); тогда процесс необходим для восстановления системы и укрепления безопасности. Контрразведка – единственный способ быть в курсе того, что действительно происходит. Чтобы управлять остаточным риском, существует страхование.
Все эти процессы сложны, и, чтобы их обеспечить, нужны специалисты. И поскольку уже многие аспекты нашей жизни тем или иным образом связаны с киберпространством, растут требования к компьютерной безопасности, а следовательно, и спрос на специалистов. Единственно правильное решение – привлекать экспертов как можно чаще.
Представим центр, контролирующий безопасность большой сети. Требуется как минимум пять обученных аналитиков для замены одного, работающего в режиме 24 х 7 (часов и дней), а согласованные атаки могут потребовать внимания полдюжины аналитиков. Отдельной организации не выгодно нанимать стольких людей на постоянную работу, поскольку нападения происходят довольно редко, удобнее привлекать этих людей в необходимых случаях. Независимая служба способна обучать своих аналитиков теории и практике. Эта служба может активно испытывать меры противодействия, анализировать способы вторжения, разрабатывать новые способы отыскания уязвимых точек и быть в курсе новых методов взлома. Она также может наблюдать процессы, происходящие в различных зонах Интернета, а не только в сети одной организации.
Я думаю, что в ближайшее время возрастет число действующих в киберпространстве независимых служб безопасности, подобно тому как в физическом мире растет число частных служб охраны, таких как Allied Security и компаний по обслуживанию сигнализации, подобных ADT. Слишком много специальных знаний требуется для обеспечения безопасности киберпространства, и только сотрудники специализированной службы могут в полной мере обладать этими знаниями. Моя консультационная компания Counterpane Systems предлагает разработку и анализ систем безопасности с привлечением средств криптографии. Другие компании предлагают оценку риска, разработку политики безопасности, установку, испытание, обновление оборудования и т. д.
Такие компании оказывают и услуги по защите систем на предприятиях. Кто-то должен постоянно контролировать работу средств защиты и реагировать на все, что происходит. Они (один человек не может находиться на рабочем месте все 24 часа) должны разбираться в нападающих и их методах. Они должны поддерживать средства защиты, приспосабливаясь к постоянным изменениям в сетях и сетевых службах. Компании не могут самостоятельно справиться с этим. Они производят автомобили, продают книги или занимаются чем-либо еще, но не безопасностью сетей. Они привлекают независимые, специализирующиеся в этом компании для управления их сетями, а также для обеспечения безопасности. Конечно, всегда будут специализированные сети (банковские, сети сотовой связи, системы кредитных карточек), которые должны быть закрытыми, и всегда найдутся консультанты безопасности, специализирующиеся в этом. Этим занимается моя новая компания Counterpane Internet Security, Inc.
Это нормальная эволюция служб безопасности. Никто не нанимает свою собственную охрану; ее привлекают. Никто не нанимает своих собственных аудиторов; их привлекают. Даже такая обыденная вещь, как нарезка бумаги для документов, лучше будет сделана в привлеченной компании, специализирующейся в этом.
Кроме выгоды от профессионального подхода и эффективности, практика привлечения специализированных служб способствует тому, что аналитические данные по проблемам безопасности накапливаются. Привлекаемые компании могут заниматься активным сбором информации о новых видах нападений и, возможно, даже вести разведывательную деятельность среди хакеров для предотвращения преступлений. Они сталкиваются с различными моделями нападения и могут их распознавать. И они способны защитить от атак своих многочисленных клиентов: могут обнаружить нападение в Нью Дели и защитить своих клиентов в Нью-Йорке. В реальном мире организации привлекают службы безопасности. Никакая компания не нанимает собственных охранников, каждая обращается в охранную компанию. Банки платят за транспортировку автомобильным компаниям, обеспечивающим вооруженную охрану. Компании приглашают аудиторов для проверки правильности ведения дел. Обеспечение безопасности компьютера от обеспечения безопасности сети ничем не отличается. Оно в той же степени сложно и важно. Безопасность требует бдительности. В цифровом мире привлеченные услуги – единственное, что может обеспечить необходимую бдительность.
Глава 25
Заключение
Марк Лойзокс, президент фирмы «Управляемые Разрушения» (Controlled Demolitions), взрывает старые здания для постройки новых. Жалуясь на «непрофессионализм» современных террористов, он утверждал в журнале Harpers Magazine (июль 1997): «Мы можем взорвать все мосты в Соединенных Штатах за пару дней… Я берусь заехать на грузовике на мост Верразано[75], взорвать мост и уехать обратно на велосипеде. И никто мне не помешает в этом».
Так как технологии усложняются, социологи приобретают более узкую специализацию. Почти для каждой области деятельности характерно, что люди, имеющие знание ее социальной инфраструктуры, также обладают знаниями по ее уничтожению.
Спросите любого врача, как кого-нибудь отравить, он сможет рассказать вам. Поинтересуйтесь у какого-нибудь аэродромного служащего, можно ли безнаказанно вывести из строя «Боинг-747», и не сомневайтесь, он знает, как это сделать. Теперь справьтесь у любого профессионала по безопасности Интернета, как «сломать» Интернет. Мне поведали примерно с полдюжины различных способов, и я знаю, что это не предел.[76]
Перед обладателем таких знаний система беззащитна. Все, что для этого нужно, – это сочетание умений и моральных качеств. Иногда даже не требуется большого навыка. Тимоти Маквей[77] натворил вполне достаточно в правительственном здании Оклахома-Сити, даже несмотря на утилитарное использование взрывчатых веществ, что вызвало бы отвращение у такого профессионала, как Лойзокс. Доктор Гарольд Шипман убил 150 своих пациентов, используя такие безыскусные методы, как впрыскивание морфия.
На первый взгляд киберпространство никак не отличается от любой другой инфраструктуры нашего общества, оно настолько же непрочно и уязвимо. Но, как я говорил в главе 2, характер нападений различен. Маквей должен был приобрести знание, прийти на частную ферму и попрактиковаться во взрывах, арендовать грузовик, нагрузить его взрывчаткой, приехать к месту теракта, зажечь запал и уйти. Доктор Шипман ничего бы не добился без медицинской практики, не обзаведясь пациентами. Наш гипотетический борец с «Боингами» должен уметь обслуживать самолеты. Они все обязаны были подобраться близко к цели, подвергнуть себя риску, осуществить задуманное, совершить ошибки. И они должны были знать, что делают.
Или подумайте о гонке ядерных вооружений. Еще не было никакой крупномасштабной эскалации вооружений, а знания по производству ядерных бомб стали достоянием публики. Почему так случилось? Потому что эти знания не являлись опасными; осуществить громоздкие технические программы, вложив в них гигантские средства, могли себе позволить только единичные государства.
Киберпространства бывают разные. Вы можете находиться в другом месте, далеко от узла, на который вы нападаете. Вы можете не иметь никаких навыков и вообще ничего, кроме программы, которую вы загрузили с первого попавшегося веб-сайта. И вы даже не подвергаетесь риску. Порядочный хакер распространит сведения о найденной уязвимости в Интернете, а преступник напишет программу-имитатор нападения, которая продемонстрирует уязвимость, и затем любой неумеха без комплексов сможет воспользоваться ею для нападения. Например, как червем филиппинского студента, инфицировавшим десять миллионов компьютеров, что повлекло 10 миллиардов долларов ущерба. Или, возможно, в некотором царстве-государстве с неразвитой правовой системой приютилась веб-страница, которая содержит приложение Java: «Щелкните здесь, чтобы „сломать" Интернет». Не очень привлекательно, так ведь?
В девятнадцатом столетии французский социолог Эмиль Дурхейм постулировал, что анонимность делает людей преступниками. Вы можете дополнить его доводы, приведя в пример психологию современного хакера: невозможность ни с кем связаться, анонимность действий и отсутствие последствий за содеянное приводят некоторых людей к антиобщественным поступкам. Миазмы, вредные влияния виртуального пространства – гарантия этого.
Технология – не панацея, она не смогла помешать Маквею или Шипману. Оба были схвачены с помощью процессов безопасности: обнаружения и реагирования. В случае Шипмана обнаружение и реагирование абсурдно не соответствовали, и он избежал должной за свою бойню кары на десятки лет заточения. Правоохранение выявило случившееся, расследование установило, кто это сделал, а закон не наказал виновного по заслугам[78].
Для социальных проблем нет технических решений. Законы жизненно важны для безопасности.
Если кто-нибудь изобретет дверь, которую невозможно вскрыть, такой же оконный замок или совершенную систему сигнализации, общество не изменится и не скажет: «Нам не нужны полиция или устаревшие законы о взломе и вторжении». Если история преступной деятельности что-нибудь и показала, так это ограниченность технологий. Мы нуждаемся в охране для наблюдения за продуктами и в полиции для расследования преступлений. Нам требуются законы, чтобы преследовать по суду мошенников в сфере электронной торговли, нарушителей компьютерной безопасности и людей, которые создают средства, облегчающие эти преступления. Мы можем внедрить наилучшие технологии для предотвращения преступлений, которые совершаются в первый раз, или для их обнаружения уже после свершившегося факта. Но мы все равно окажемся перед необходимостью полагаться на охрану для поимки преступника и на судебную систему для вынесения приговора. Мы можем сделать все возможное, чтобы помешать проведению маркетинговых исследований фирмы, включающих нелегальный сбор информации на людей, но мы также нуждаемся в законах, чтобы преследовать по суду эти нарушения.
Короче говоря, мы должны заручиться гарантией, что люди будут подвергать себя опасности при совершении преступлений в киберпространстве.
Мы также должны учиться на своих ошибках.
Когда самолет DC-10 терпит крушение, что-либо узнать об этом легко. Есть расследования и отчеты, и в конечном счете люди учатся на таких несчастных случаях. Вы можете подключиться к Air Safety Reporting System и получить детальные описания десятков тысяч аварий и несчастных случаев, начиная с 1975 года.
Крах безопасности происходит по разным причинам, но обычно не из-за шаровой молнии или внезапного удара. Наиболее успешные нападения (на банки, корпорации и правительства) не упоминаются в средствах массовой информации. Некоторые из них проходят незамеченными даже самими жертвами. Мы знаем все относительно MD-80[79], вплоть до металлургии винтового домкрата, и лишь немного о том, как нападавшие крали номера кредитных карточек с веб-узлов. Это подобно Аэрофлоту Советского Союза: официально никогда не происходило никаких аварий, но каждый знал, что иногда самолеты не достигают пункта назначения по загадочным обстоятельствам.
Предание гласности не оценивается по достоинству. Когда в 1995 году Ситибанк потерял 12 миллионов долларов из-за российского хакера, банк объявил о факте внедрения и уверил клиентов, что предпринял новые, более серьезные меры безопасности для предотвращения таких нападений в будущем. Даже в этом случае миллионы долларов были отозваны людьми, которые полагали, что их счета стали уязвимы сразу после объявления Ситибанка. В конечном счете, Ситибанк возместил убытки, но получил ясный и однозначный урок: не разглашать.
Мы обязаны предавать гласности нападения. Должны открыто анализировать, почему системы выходят из строя. Мы должны разделить информацию о нарушениях безопасности на причины, слабые места, результаты и методики. Секретность только на руку нападающим.
Недальновидная политика тех, кто стремится запретить перепроектирование, только ухудшает положение. Почему люди, покупающие программное обеспечение, не должны знать, как оно работает, в отличие от покупателей, например, автомобилей? Почему программное обеспечение должно быть освобождено от «Отзывов потребителя» (способа анализа и испытания)? Опять тайна только помогает нападающим.
И мы нуждаемся в реальной ответственности поставщиков за продукты. Это очевидно: поставщики не будут предоставлять безопасное программное обеспечение, пока это не в их интересах.
Сочетание безответственности и невозможности перепроектирования особенно разрушительно. Если исследователям запрещен анализ безопасности продукта, имеет ли смысл ограждать поставщиков от ответственности? И если поставщики не несут никакой ответственности за некачественные продукты, то как указание на недостатки может быть незаконным?
Всюду в этой книге я доказывал, что технологии безопасности имеют ограничения. Я не хочу сказать, что они бесполезны. Такие контрмеры, как криптография, защита от несанкционированного вмешательства и обнаружение вторжения, делают систему более безопасной. Технологии задерживают незрелые сценарии и случайных нападающих, которые действительно не ведают, что творят. Но эти технологии подобны рентгеновской установке и датчикам металла в аэропортах: они не делают ничего, чтобы остановить профессионалов, но препятствуют любителям.
Средний человек не способен отличить хорошую безопасность от плохой. Она так же работает и столько же стоит. (Плохая безопасность могла бы даже лучше смотреться и меньше стоить; компания, которая не слишком волнуется о безопасности, может уделять больше ресурсов для изготовления модных «примочек».) Реклама и специальная литература в обоих случаях одинаковы. Разницы не заметить, не заглянув внутрь исходного кода или «железа». И к тому же вы должны быть специалистом. Средний человек все еще не может отличить продукт высокого качества от подделки.
Мир заполнен вещами, угрожающими общественной безопасности, суть которых находится вне понимания среднего человека. Люди не могут отличить безопасную авиалинию от опасной, но 1,6 миллиона человек в Соединенных Штатах летают каждый день. Люди не всегда способны отличить качественное лекарство от бесполезного, и все же объем американского фармацевтического рынка составляет 60 миллиардов долларов в год. Люди пользуются «заезженными» каботажными судами, доверяют свои деньги не тем, кому следует, и едят обработанное мясо – не проявляя реального беспокойства по поводу своей безопасности.
В коммерции все то же самое. Когда в последний раз вы лично проверяли точность насосов бензоколонки, или счетчик такси, или информацию о весе и объеме пищевых продуктов в пакетах? Когда в последний раз вы вошли в офис здания и потребовали показать свидетельство последнего осмотра лифта? Или проверяли лицензию фармацевта?