Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире
Двоякая природа рисков в этом случае точно такая же, как и рассматривавшаяся в связи с проблемой водяных знаков. Посмотрите, что происходит в видеоиндустрии: пиратство было гораздо менее распространено, когда видеомагнитофоны были еще в диковинку. Тому есть две причины. Во-первых, изящная защита от копирования не позволяла Джо Середнячку использовать для этих целей ни один из существовавших видеомагнитофонов. Во-вторых, розничная цена видеозаписей была настолько низка, что все ухищрения Джейн Хакер были экономически не оправданны.
Что действительно интересно в связи с проблемой защиты от копирования и пиратства, так это идея о том, что проблема на самом деле не существует. Не столь важно защитить от копирования коммерческий продукт. В условиях конкуренции ключевым моментом является распространение продукта на рынке. Многие компании руководствуются принципом: пираты не причинят нам ущерба, если наша продукция не пользуется спросом. Это вроде того, как если кто-то принимает наши телепередачи вне нашей сети. Почти все те, кто крадет наши программы, не в состоянии заплатить за них. Однако когда эти пираты окажутся перед выбором, они будут покупать нашу продукцию, а не продукцию конкурентов. Пиратство оказывается неожиданным средством рекламы.
Компания Microsoft имела в виду именно это, когда переводила свои программы на китайский язык и распространяла их в этой стране. Было очевидно, что программы будут взламываться, но потери будут составлять меньше одной десятой со всех продаж. Часто цитировали слова одного из сотрудников Microsoft, Стивена Бальмера: «Готовность к тому, что ваши программы будут взламывать, означает, что вы понимаете – это будут ваши программы, а не конкурентов. Важно, чтобы в развивающихся странах на рынке были широко распространены краденые программы». Когда Китай войдет в число свободных стран, он будет ориентироваться на продукцию Microsoft. До тех пор Microsoft ничего не теряет. В этом состоит стратегия бизнеса[44].
Уничтожение информацииОчень часто возникает необходимость уничтожения информации. Если вы хотите удалить секретный файл со своего компьютера, вам хочется быть уверенными в том, что никто впоследствии не сможет восстановить его. Если вы используете секретный ключ шифрования связи – телефонных переговоров, например, – вам хотелось бы, чтобы ключ был уничтожен по окончании разговора и никто не смог бы воспользоваться им.
Уничтожение информации оказывается делом гораздо более сложным, чем это можно себе представить.
Когда вы удаляете файл с магнитного диска (жесткого, гибкого диска), данные в действительности не уничтожаются. (Поэтому и возможно их восстановление с помощью утилиты unerase.) Файл попросту помечается как «удаленный», и впоследствии соответствующие биты перезаписываются новыми данными. Единственный способ полностью удалить файл с магнитного диска состоит в том, чтобы записать на его место другой файл. Некоторые утилиты удаления именно это и делают.
Менее известно, что существуют технологии, позволяющие восстановить удаленные данные, даже если на их место были записаны новые. Я не буду вдаваться в премудрости этой науки, но вы можете представить, что перезапись некоего фрагмента является попросту записью в его начало. Некоторые данные, расположенные ниже, сохраняются. И когда вы вновь производите перезапись, сохраняются фрагменты двух предыдущих записей, и т. д. Технология, известная под названием «магнитная микроскопия», позволяет восстановить данные после многократной перезаписи. Сколь много может быть перезаписей, точно не известно, некоторые утверждают, что до десяти.
Эти «микроскопы» достаточно дороги (хотя любительские версии дешевеют), и проверки такого рода доступны только государственным структурам. Если у вас возникает беспокойство в связи с интересом государственных служб, единственным действенным способом уничтожения информации на магнитном диске будет стереть его в порошок.
Уничтожить данные, оказавшиеся в аппаратуре, нелегко. Как SRAM, так и DRAM сохраняют некоторые следы данных после отключения питания. Биты, содержащиеся в RAM, могут быть восстановлены путем определения изменений содержимого ячейки памяти. Изменением температуры чипа и подаваемого напряжения можно достичь восстановления удаленных данных. Существует множество физических методов, которые применимы для этих целей.
Оборудование для военной криптографии в США построено таким образом, чтобы уничтожать, или «обнулять», ключи в случае вторжения. Это нелегкая задача, и тому есть две причины: удалить данные непросто, а кроме того, нужно еще успеть сделать это вовремя. Были разработаны специальные датчики, сигнализировавшие о попытках проникновения внутрь оборудования. Они реагируют на изменение различных параметров: напряжения и силы тока, освещенности и температуры. Однако если нападающий знает, что представляют собой эти датчики, он в состоянии их обойти. (Он может работать при таком освещении, к длине волны которого датчик нечувствителен, или может медленно изменять температуру, чтобы обмануть его, а также использовать множество других приемов.) Опять-таки, это проблема в первую очередь государственных структур, и она очень сложна.
Одна из основных трудностей состоит в том, что устройство должно обеспечивать полную сохранность ключей в нормальных условиях и полностью удалять их, не оставляя следов, в чрезвычайных ситуациях. Если используется хорошая технология обеспечения сохранности ключей, неизбежно возникают трудности С их уничтожением. Решить сразу обе противоречащие друг другу задачи весьма непросто.
Коммерческие системы сталкиваются с этой проблемой в тех случаях, когда требуется, чтобы владелец устройства, например смарт-карты или приемника передач платного телевидения, не мог добраться до его секретов. Я уже говорил о системах сопротивления вторжению и способах их преодоления. Техника «обнуления» позволяет обезопаситься от нападений этого рода. Однако существуют способы борьбы и с «обнулением». В основном коммерческие системы не приобретают права на использование «обнуления» (мне известно только одно устройство коммерческого назначения, имеющее государственный сертификат «обнуления» FIPS 140-3), поскольку стоит это весьма дорого.
Глава 17
Человеческий фактор
Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!
К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие человека с компьютером таит в себе наибольшую угрозу из всех существующих. Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.
Когда я начинал давать консультации различным компаниям по вопросам криптографии, я обещал потенциальным клиентам, что смогу более или менее надежно защитить их данные, однако использование этих данных людьми будет представлять постоянную угрозу безопасности. С годами я стал более циничен и говорю будущим клиентам, что в отношении безопасности математический аппарат безупречен, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны. Я изучил множество вопросов, связанных с обеспечением безопасности компьютеров и сетей, и могу утверждать, что не существует решения проблемы человеческого фактора. Обезопасить что бы то ни было от воздействия человека вообще очень трудно.
Люди не понимают, что такое компьютер. Он представляется им загадочным «черным ящиком», в котором что-то происходит. Они доверяют его сообщениям и хотят лишь одного – чтобы их работа делалась.
Люди не понимают, что такое опасность, может быть, за исключением разве только случаев явной угрозы. Они запирают двери и задвигают шпингалеты на окнах. Идя по темной аллее, они стараются убедиться в том, что их никто не преследует. Но они не осознают скрытую опасность и не задумываются о том, что в сверток может быть заложена бомба или что продавец в уютном ночном магазинчике может продавать на сторону номера кредитных карт. И почему, собственно, они должны беспокоиться? Такое ведь почти никогда не случается.
Средства компьютерной безопасности работают в цифровом мире. Перевести информацию в царство цифр непросто, а сохранить ее там попросту невозможно. Помните «безбумажный офис» прошлого года?[45] Информация никогда не остается в компьютере и постоянно переносится на бумагу. С точки зрения взломщика, информация, хранящаяся в бумажных папках, ничуть не хуже той, что содержится в компьютерных папках[46]. Бумаги, выброшенные в корзину, часто представляют большую ценность, нежели содержащиеся в компьютере сведения. Их легче похитить и труднее пропустить что-либо важное. Компания, в которой тщательно шифруются все данные, но оставляются незапертыми кабинеты или не уничтожаются выброшенные в корзину бумаги, открывает себя для нападений.
