Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

И все это удивительно легко может стать бесполезным.

Я использую термин ландшафт уязвимых точек, чтобы изобразить обманчивый и сложный мир атак и мер противодействия. Использованная метафора допускает расширение списка описываемых атак – выстрелы из ружья в банковского кассира, шантаж программиста с целью заставить его включить троянского коня в кусок программного кода, проникновение через стену банка, обработка невнимательного сотрудника для того, чтобы получить пароль, – и контрмеры: пуленепробиваемое стекло, защищающее кассира; проверка всего персонала; камеры наблюдения снаружи здания; биометрический контроль. Различные куски ландшафта связаны с различными типами атак. Компьютерные атаки представляют собой, несомненно, только малую часть ландшафта.

Каждая система имеет свой собственный ландшафт уязвимых мест, хотя многие черты для различных систем схожи. (Каждая компьютеризированная система подвержена угрозе отключения питания. И почти каждая система использует угрозу ареста в качестве контрмеры.) Ландшафт уязвимых точек очень неровен, его составляют пики и долины различной высоты и глубины. Чем выше пик, тем эффективнее соответствующая мера отпора: вершина «используйте пароли» невысоко поднята над землей, а «выключите компьютер и утопите его в вонючем болоте», конечно, намного выше. Долины, с другой стороны, представляют собой узкие места: это возможности потенциальных противников атаковать вашу систему. Чем ниже долина, тем серьезнее изъян.

Уязвимая точка еще не означает выигрыш. Выигрыш – это то, о чем мы говорили в главе 3: выигрыш вора, которому удалось украсть деньги, выигрыш нечестного торговца, присвоившего чужую собственность, выигрыш озабоченного студента, заработавшего дурную славу. Уязвимые места могут быть использованы атакующими, чтобы добиться цели. Цель – украсть деньги; незащищенный кассовый аппарат – уязвимая точка. Испортить чью-либо репутацию – это цель; незашифрованные файлы на его жестком диске – уязвимая точка. Некоторые уязвимые точки бесполезны для достижения именно данной цели. В анонимных группах новостей целью атакующего может быть, например, установление личности корреспондентов. Нехватка идентифицирующей информации не сослужит ему хорошую службу. Если группа новостей построена по принципу платной подписки, у нападающего может быть иная цель – пользоваться ею бесплатно. В таком случае уязвимость системы идентификации будет ему на руку.

Ландшафт уязвимости можно представить различными способами. Я выделяю в нем четыре обширные области: физический мир, мир виртуальный, доверенности и жизненный цикл системы. Они связаны друг с другом. Противник способен действовать на уровне физического мира: взломать дверь и ворваться, забросать бомбами, отнять жизнь и т. д. С помощью Интернета тот же противник может напасть в виртуальном мире: отключить компьютеры и телефонную связь, взломать полицейские компьютеры и поместить ложное объявление о розыске всех членов совета директоров и т. п. Нападения на физические инфраструктуры из виртуального мира могут проводиться на расстоянии, мгновенно и без предупреждения. Они часто оказываются гораздо опаснее нападений на физическом уровне.

Проблему физической безопасности человечество пыталось решать во все времена: как только возникло понятие собственности. Стены, замки и вооруженная охрана – вот средства физической безопасности. Уязвимыми местами являются, например, не снабженная сигнализацией стеклянная крыша, дремлющая по ночам охрана и замки, которые можно открыть фомкой. Долгое время учреждения имели дело со всеми этими проблемами, и большинство из них научились использовать меры физической безопасности, соответствующие реальной угрозе. Они более или менее представляют своих противников и то, какие контрмеры являются достаточными для защиты их имущества.

Разработчики систем безопасности в цифровом мире часто забывают о физической безопасности. Постоянно похищаются портативные компьютеры, в которых хранятся секреты. За один особенно неудачный месяц 2000 года MI5 и MI6 (британские разведывательные службы) лишились портативных компьютеров с секретными сведениями. Возможно, воры не интересовались этой информацией или она была зашифрована, однако никто этого не знает точно. (Британские вооруженные силы, судя по всему, имеют множество проблем с сохранностью портативных компьютеров. В 1991 году компьютер, содержавший секретные указания в связи с Войной в Заливе, был похищен из автомобиля, принадлежавшего Королевским Военно-Воздушным силам. После того как были организованы широко освещавшиеся полицейские мероприятия по розыску преступника, компьютер был возвращен с посланием: «Я – вор, а не изменник».) Удивительно много компьютеров крадут в аэропортах организованные шайки воров при прохождении пассажирами детекторов металла.

Меры физического противодействия часто используются совместно, так чтобы они усиливали друг друга, и обычно это бывает более эффективно, чем использование любой из них по отдельности. Охрана обходит прилегающую к запертому зданию территорию, огороженную забором. Банки используют охрану, сигнализацию, видеонаблюдение и сейфы, снабженные замками, срабатывающими в назначенное время.

Когда эти меры предпринимаются в совокупности, ни одна из них не должна обязательно обеспечивать полную защиту от нападения. Требования, предъявляемые к каждому из средств защиты, зависят от того, какие другие меры безопасности задействованы. Дверного замка стоимостью в 5 долларов может быть вполне достаточно при наличии забора и охраны внутри. А замок стоимостью в 50 долларов окажется бесполезен, если поблизости оставлено открытым окно. Отравленные стрелы будут излишни, если на пути злоумышленника установлены вращающиеся стальные лезвия.

Против угроз в виртуальном мире также были разработаны контрмеры. Установка брандмауэра аналогична возведению стен и запиранию дверей. Системы идентификации выполняют функции охраны и напоминают проверку пропусков. Шифрование позволяет создать в киберпространстве «секретную комнату» для конфиденциальных переговоров или электронный сейф для хранения информации.

Хорошая система защиты также использует несколько различных мер безопасности: брандмауэр защищает систему от проникновения посторонних, строгая идентификация дает уверенность в том, что лишь правомочное лицо может войти в нее, а дополнительные гарантии дает шифрование данных при сквозной передаче[49].

Доверенность определяет, кому и как собственник доверяет распоряжаться своим имуществом или его частью. Например, поступающий на работу должен представить достоверную анкету, представленные им рекомендации должны быть проверены, а его прошлое не должно быть омрачено криминальными эпизодами. Если его приняли, то ему выдается служебное удостоверение с фотографией и свидетельство о праве на парковку. Различным группам людей предоставляется право входить в определенные помещения, открывать доступные им файлы или посещать некоторые собрания. Только определенные особы могут подписывать чеки, заключать контракты или проводить финансовые операции. При чрезвычайных обстоятельствах дополнительная гарантия безопасности обеспечивается отстранением от обязанностей: например, лицо, обладающее правом подписывать чеки, оказывается лишенным доступа к компьютеру, создающему подписи. Доверенность предполагает сложную структуру отношений. Некто может обладать правом изменять записи базы данных, но не инженерные спецификации. Другой человек будет, наоборот, иметь право изменять эти спецификации, но не иметь доступа к персональным данным.

В реальном мире не составляет труда определить, кто облечен доверием, а кто нет. Вы знаете, как это выглядит. Если иностранец заходит в офис и достает мелкие деньги, это уже вызывает подозрение. До тех пор пока организация настолько мала, что все лично знают друг друга, атака, связанная с физическим проникновением, практически нереальна. Любая другая организация должна обезопасить себя от шпионов: служащие должны отслеживать появление незнакомцев и при этом не думать ни о чем постороннем (в противном случае люди будут уязвимы для угроз, взяточничества, подкупа, шантажа, обмана и других отвратительных проявлений).

В виртуальном мире проблема гораздо сложнее – нужно обеспечить тот же уровень доверия между людьми без физического присутствия заинтересованного лица, имеющего возможность всегда изменить ситуацию. Например, в физическом мире злоумышленник, который хочет притвориться доверенным членом сообщества, рискует, что его могут найти и арестовать. В виртуальном мире шпион, который проник внутрь системы, представляясь доверенным лицом, гораздо меньше рискует быть обнаруженным и пойманным.