ЛОЗУНГИ ОБ ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТОЛЬ ЖЕ БЕССМЫСЛЕННЫ, КАК И ПРИЗЫВЫ К ПРЕДПРИЯТИЯМ НЕ ОТРАВЛЯТЬ ОКРУЖАЮЩУЮ СРЕДУ. ПО КРАЙНЕЙ МЕРЕ ДО ТЕХ ПОР, ПОКА ОТВЕЧАТЬ ПЕРЕД ОБЩЕСТВОМ НЕ ПРИДЕТСЯ ПО ЗАКОНУ.
В марте 2010 года на одном из главных форумов индустрии компьютерной безопасности, RSA Conference в Сан-Франциско, выступал весьма интересный человек. Из тех, кто много чего знает, однако публично этого никогда не рассказывает, да и на публике появляется крайне редко. Зовут этого человека Брайан Сноу (Brian Snow). Ему за шестьдесят, причем более 35 лет своей жизни он проработал в Агентстве национальной безопасности США. А последние лет пятнадцать — на высоком посту технического директора таких ключевых подразделений АНБ, как департаменты исследований и разработок или управление защиты информации.
На конференции RSA Брайан Сноу выступал уже как частное лицо, а не официальный представитель крупнейшей в мире спецслужбы радиоэлектронной разведки. Поэтому, не будучи обременен статусом государственного человека, Сноу вполне мог позволить себе довольно откровенные высказывания относительно общего состояния дел с компьютерной и сетевой безопасностью.
Ни для кого, в общем-то, не секрет, что дела в этой области всегда были и остаются довольно неважными. Однако, по мнению Сноу, в действительности ситуация гораздо хуже, чем большинство себе представляет. Очень многие коммерческие приложения и средства безопасности, подчеркнул эксперт, содержат в себе давным-давно известные уязвимости или дефекты, однако пользователи по сию пору повсеместно с этим мирятся, не понимая сути угроз и не настаивая на тщательном их анализе.
Подобная доверчивость, считает Сноу, в чем-то весьма напоминает слепое доверие инвесторов к тем ненадежным производным инструментам (ценным бумагам, стоимость которых определяется предположительной стоимостью основных финансовых активов), с помощью которых на Уолл-стрит делаются очень большие деньги. И точно так же, как на финансовый рынок из-за этого недавно обрушилась катастрофа, в области сетевой безопасности, предупредил эксперт, скоро тоже вполне может произойти похожий взрыв «пузыря доверия».
В отличие от автомобиля
На рубеже 1990–2000-х годов среди капитанов компьютерной индустрии была весьма популярна шутка, построенная на сопоставлении темпов технологического прогресса автомобилей и компьютеров. Дескать, если бы первые развивались с той же скоростью, как компьютеры, то современному автомобилю всего одной заправки бензобака хватало бы на то, чтобы проехать многие тысячи миль, а по завершении столь дальнего путешествия владельцу было бы дешевле купить новую машину, чем оплачивать место стоянки.
В шутке этой, спору нет, большая доля правды. Но имеется в подмеченных различиях и существенно иная сторона, на которую как раз и обратил недавно особое внимание бывший замдиректора АНБ США Брайан Сноу1. Чего нет в современных компьютерах совсем, отмечает он, так это гарантий безопасности. В предельно доходчивой форме эта мысль сформулирована автором так: «Если бы мой автомобиль подводил меня столь же часто, как это делает мой компьютер, я бы давно уже был мертв».
СОФТВЕРНАЯ ИНДУСТРИЯ НАХОДИТСЯ НЫНЕ ПРИМЕРНО НА ТОМ ЖЕ УРОВНЕ, ЧТО И АВТОМОБИЛЬНАЯ В 30-Х ГОДАХ ПРОШЛОГО ВЕКА: ФУНКЦИОНАЛЬНОСТЬ ЕСТЬ, БЕЗОПАСНОСТИ — НЕТ
Индустрию программного обеспечения действительно можно сравнивать с автомобильной промышленностью, однако при этом, по Сноу, сегодняшнее ПО следует сопоставлять с автомобилями 30-х годов прошлого века. Тогда автоиндустрия уже в массовом порядке выпускала машины, способные развивать скорость свыше 100 километров в час. Они привлекательно выглядели и могли легко доставлять своих владельцев из одной географической точки в другую. То есть с точки зрения «производительности и функциональности» машины были вполне приемлемы. Однако при этом они не обладали многими средствами безопасности. И если в ту пору на высокой скорости самодвижущиеся экипажи попадали в аварию, водитель и пассажиры чаще всего погибали.
Сегодня индустрия предлагает нам подушки и ремни безопасности, краш-зоны, контроль тягового усилия, АБС, системы курсовой устойчивости, а также множество прочих элементов конструкции автомобилей, которые в основном невидимы для покупателя, но в большинстве своем обязательны по законодательству. Софтверная же индустрия ныне находится примерно на том же уровне, что и автомобильная в 30-х годах. То есть обеспечивает производительность и функциональность, но уделяет мало внимания безопасности. А ведь, как и в случае с машинами, проблема гарантированной безопасности компьютерных программ является сегодня жизненно важной!
В поисках подтверждений
Вполне очевидно, что Сноу легко мог бы развить и обосновать эту мысль в деталях, однако выступление его проходило в рамках дискуссионного круглого стола с множеством других участников-экспертов. Темы этой дискуссии быстро менялись и уходили в существенно иных направлениях. Поэтому нам — для получения более внятного представления о реальном состоянии дел с компьютерной безопасностью — имеет смысл поискать более содержательное выступление специалиста с примерно таким же уровнем компетентности.
Сделать это, в общем-то, несложно. Благо всевозможные ИТ-конференции, затрагивающие темы защиты информации, устраиваются ныне регулярно, а среди докладчиков, как правило, обнаруживаются люди, способные говорить о проблемах честно и непредвзято. Так, вполне подходящим кандидатом является Амит Йоран (Amit Yoran), в настоящее время директор компании NetWitness, действующей на рынке информационной безопасности.
Около 88% ведущих компаний, входящих в элитный топ-список Fortune 500, в своих компьютерных сетях с большой вероятностью эксплуатируют машины, пораженные шпионским вирусом-троянцем Zeus. Об этом в середине апреля сообщила известная компания RSA, специальное подразделение которой FraudAction Anti-Trojan division на постоянной основе занимается отслеживанием угроз от подобных напастей.
Троянец Zeus устанавливает в скомпрометированном компьютере подпрограмму, отслеживающую нажатие клавиш (keylogger), чтобы похищать ценную информацию вроде реквизитов банковских платежных карт, логинов и паролей для доступа к различным персональным аккаунтам пользователей, и в частности к электронной почте. Кроме того, троянец обеспечивает тайный канал («черный ход») для связи со своими хозяевами и обновления шпионских функций.
Шпионская сеть («ботнет» Zeus), объединяющая зараженные компьютеры-зомби в единую структуру, тайно управляемую с командных серверов, впервые была выявлена в 2007 году и, несмотря на усилия по ее искоренению, вполне успешно живет и поныне. Подобного рода вредоносные программы довольно сложно выявлять и удалять из компьютеров, поэтому по меньшей мере несколько миллионов машин все еще заражено данной инфекцией.
Компоненты Zeus, работающие на серверной стороне этой шпионской сети, используются для накопления похищаемых данных — и при этом на удивление похоже имитируют технологии, обычно применяемые в мире коммерческого ПО. В частности, на черном рынке программа продается на условиях лицензии, общая стоимость инструментального пакета-конструктора существенно зависит от набора реализуемых шпионских функций и может достигать десяти тысяч долларов. При этом каждая инсталляция привязана к конкретной аппаратной конфигурации машины, на которой установлена программа, что явно напоминает технологию активации лицензированного ПО корпорации Microsoft.
Исследование компании RSA было сосредоточено на изучении похищенных данных, обнаруживаемых на тех серверах Zeus, которые аналитикам удалось выявить и отчасти проинспектировать. В частности, были обнаружены интернетадреса компьютеров и учетные записи электронной почты, принадлежащие многим ведущим корпорациям. Те или иные признаки поражения опасной инфекцией были выявлены почти для всех фирм, входящих в Fortune 500, а доступ злоумышленников к электронной почте, в частности, — для 60% подобных компаний.
В свое время Йорану довелось стать самым первым директором новоиспеченного Подразделения национальной кибербезопасности в составе американской спецслужбы DHS (Департамента безопасности отечества). Однако к сентябрю 2004 года Йоран, предельно разочарованный тем, что он расценивал как полное отсутствие интереса к интернет-безопасности, по собственному желанию оставил этот довольно значительный государственный пост.
Ныне, спустя пять с лишним лет, по словам самого Амита Йорана, его разочарование и недовольство ситуацией простираются далеко за рамки правительственных структур. Повсюду, где бы ни оказывался (будь то сообщества производителей программного обеспечения, типичная фирма, торгующая решениями в сфере ИТ-безопасности, или же совещательные кабинеты в дирекции серьезных компаний), везде он натыкается на все то же непонимание и безразличие. На проходившей в апреле этого года в Бостоне конференции SOURCE Йоран осветил суть проблем в своем докладе, который назвал грубовато — «Отстойная безопасность» («Security Sucks» на языке оригинала).
Йоран считает, что вся сфера информационной безопасности в мире поражена злокачественной опухолью. По его оценкам, дела ныне обстоят «погано», причем «повсюду». Технологии неадекватны. Принимаемые решения не обоснованы ни подобающими метриками, ни реалиями того окружения, в котором работают конкретные предприятия. Люди же как будто просто не способны понимать и оценивать современные угрозы.
По оценкам Йорана, столь шумно обсуждавшиеся недавно атаки против систем корпорации Google — хрестоматийный пример того, насколько продвинутыми и изощренными стали современные вредоносные программы. И противопоставить им, по существу, на сегодняшний день нечего. Поэтому совсем незначительная модификация той же самой технологии проникновения, что скомпрометировала серверы Google, легко способна и дальше с успехом продолжать свою вредительскую деятельность даже в хорошо контролируемых системах и сетях.
Вредоносные программы, используемые в этих атаках, становятся лучше с каждым днем и успешно обходят традиционную защиту, включая фаерволы и антивирусные средства, основанные на известных сигнатурах вирусов. Технология систем для выявления проникновений также не в силах угнаться за темпами, взятыми атакующей стороной. Количество разнообразных компонентов, из которых, словно в конструкторе, собираются шпионские программы, а также число используемых ими дыр в защите стало практически безграничным.
Вдобавок к тому, считает Йоран, поставщики средств защиты сегодня и сами не намного лучше остальных представляют себе, как со всеми этими напастями эффективно бороться. Но при этом сообщество производителей, разрабатывающих продукты в сфере информационной безопасности, пышно процветает на основе специфической «пищи» под названием FUD, что расшифровывается как Fear, Uncertainty & Doubt. «Страх, неопределенность и сомнения», нагнетаемые среди потребителей, делают свое дело лучше любой рекламы. Именно благодаря FUD, уверен Йоран, участникам отрасли удается успешно продавать свои продукты, заведомо не обеспечивающие той защиты, которая насущно необходима.
На основе приведенных здесь аргументов у всякого читателя, по жизни далекого от тягот компьютерной защиты корпораций и организаций, может сложиться двоякое впечатление обо всех этих проблемах. То есть либо общая ситуация действительно безнадежно плоха, либо цитируемые специалисты относятся к категории редкостных паникеров, привносящих новые страхи в нашу и без того непростую жизнь.
На самом деле, конечно же, столь крайние точки зрения заведомо неверны. В реальности картина выглядит несколько иначе. Просто высказанные оценки находятся целиком в рамках вполне определенной парадигмы. А парадигма эта — самая распространенная точка зрения, явно доминирующая в государственных, промышленных и финансовых кругах, — сводится к тому, что информационная безопасность представляет собой комплекс определенных технических мероприятий, планомерно улучшая которые, можно повышать степень защиты. Иначе говоря, создавая лучшие модели контроля доступа, совершенствуя криптографические протоколы, оттачивая методы выявления проникновений и защиты от вредоносных кодов, разрабатывая все более и более мощные инструменты для оценки состояния систем, в принципе можно и дґолжно решить очевидные сегодня проблемы с безопасностью в компьютерах и компьютерных сетях.
Однако существует и в корне иная точка зрения, согласно которой этот путь был выбран неверно и в действительности является тупиковым. Потому что, как показывает жизнь, реально и ощутимо уровень безопасности повышается не столько технологическими мерами, сколько последовательными шагами, связанными с законодательным регулированием и экономическими стимулами.
Прежде чем перейти к сути этих предложений, следует, видимо, пояснить, почему более традиционные воззрения на обеспечение информационной безопасности не ведут, похоже, никуда, кроме тупика.
Не подлежит никакому сомнению, что чем система сложнее, тем труднее обеспечить ее безопасность. В частности, всякое усложнение компьютерной программы (количество строк кода) напрямую связано с возрастанием рисков ее компрометации из-за растущего числа возможных «дыр». Ожидать упрощения программ в обозримом будущем абсолютно нереалистично. А значит, и дальше будут постоянно плодиться новые, опасные и трудные для выявления уязвимости. В связи с этим остаются столь же неизбежными частые выпуски исправляющих «заплаток» к уже используемым программам, что тянет за собой новые «баги», а следовательно, и новые заплатки к уже выпущенным. Конца этому нудному, безнадежному и всем уже опостылевшему процессу на горизонте пока не видно.
С другой стороны, в экономике давно и хорошо известно: когда сторона, обеспечивающая безопасность системы, непосредственно не страдает от того, что ее защита не срабатывает, практически наверняка можно ожидать возникновения серьезных проблем. Предельно наглядно и ярко это просматривается на примере индустриальных предприятий, загрязняющих окружающую среду. Никакие протесты, уговоры и абстрактные угрозы не приносят абсолютно никакого результата. Зато когда в той или иной стране принимаются законы, наказывающие конкретных отравителей экологии весьма серьезными штрафами, когда начинается уголовное преследование виновных — вот тогда появляются реальные стимулы.
СОФТВЕРНЫЕ РАЗРАБОТЧИКИ, ВЫПУСКАЮЩИЕ НА РЫНОК ПРОДУКТЫ С ДЫРАМИ В ЗАЩИТЕ, ДОЛЖНЫ НЕСТИ ОТВЕТСТВЕННОСТЬ ЗА УЩЕРБ, ПОНЕСЕННЫЙ ОТ ЭТОГО ОБЩЕСТВОМ
По сути, компьютерно-сетевая безопасность — это тоже ресурс всеобщего потребления. Как воздух, вода, радиочастотный спектр. Потребление таких ресурсов одними влияет и на всех остальных. А значит, действительно правильный способ предотвращения злоупотреблений — четкое регулирование. Не мягкие и практически ни к чему не обязывающие «рекомендации» государства, а внятные и достаточно жесткие законы.
Промышленные компании никогда в жизни не прекратили бы сами загрязнять реки токсичными отходами, если бы власти «рекомендовали» им это безобразие прекратить. Индустрия перестает это делать лишь после того, как правительство объявляет загрязнение среды преступлением против закона.
Примерно по той же схеме законодательство вполне может налагать ответственность на компьютерную индустрию, заставляя производителей программно-аппаратного обеспечения жить по тем же самым законам, которые действуют в других отраслях. Именно софтверные разработчики, выпускающие на рынок дефективные продукты с дырами в защите, должны нести и ответственность за ущерб, понесенный от этого обществом.
Как и в случае с загрязнением среды, закон не должен заниматься конкретными технологиями. Он должен регулировать результаты. Как говорил в свое время известный специалист по информационной безопасности Брюс Шнайер (Bruce Schneier), неоднократно призывавший к принятию подобных законов, если сделать сами ИТ-компании ответственными за «дыры» в защите их систем, то всем остальным останется лишь поражаться, насколько быстро они сумеют укрепить безопасность своей продукции.
Комментарии
1Ну-ну... Вон на BP щас наезжают крупно, а нефть от этого не перестаёт из дырки течь...