Пару слов о безопасности

"Безопасность - состояние защищенности жизненно-важных интересов личности, общества, организации от потенциально и реально существующих угроз, или отсутствие таких угроз".

Википедия

Сегодня неизвестный злоумышленник проник в компьютерную сеть корпорации "Рога и Копыта". По сообщениям представителей компании, ущерб, нанесенный хакером, равняется двум миллионам космокредитов. Правоохранительные органы начали расследование происшествия. По предварительным данным, виной всему беспечность администратора и операционная система "Hinged Window-Pane for Ventilation" от компании Microdumb.

Примерно такими заголовками пестрит компьютерная и околокомпьютерная пресса последние года два. Хакеры, всемогущие повелители Интернета, не оставляют бедного пользователя в покое ни на минуту, и единственный способ не пасть жертвой очередной атаки - это отключить Интернет. И никто даже не задумывается, что под очередной "сенсационной" статьей находится реклама какой-либо антивирусной лаборатории. Старожилы должны помнить "проблему 2000 года". Где только не муссировались слухи о скором закате компьютерной индустрии: в прессе, по телевидению, в Интернете. Предсказанный конец так и не наступил, зато акулы пера тут же выдумали новую проблему, дескать, конец Мировой Паутины уже как никогда близок, а специалисты даже и не думают предупредить об этом бедных пользователей.

Из пустоты ничего не возникает, как учат нас трактаты по физике. И беда заключается в том, что такие слухи распространяют не только журналисты, которые за деньги напишут вам все, что вашей душе угодно, но и представители вполне респектабельных антивирусных компаний. Надо же им как-то продвигать в народ свои товары, а маркетинг, знаете ли, тоже разный бывает. Вот и пугают пользователей мнимыми угрозами.

Я не стану спорить, что компьютерные вирусы за последние пять лет стали распространяться с ужасающей скоростью и уже не поддаются никакому учету. Новые штаммы очередной малвари появляются чуть ли не ежеминутно, причем изменения, вносимые в тело вируса, минимальны, однако крупные компании все чаще стали рапортовать о миллионных убытках. И виной тому даже не реверсеры - любой человек просто физически не сможет дизассемблировать и исследовать зловредный код за считанные секунды. Оттого и появляются ложные срабатывания антивируса, когда, казалось бы, безобидный Notepad++, к примеру, является ужаснейшим вирусом Win32 Neshtaa, и было бы неплохо его удалить, дабы не допустить потери конфиденциальной информации. Конечно, глобальные эпидемии иногда случаются (все помнят Conficker?), но.... Любой бизнес основан на риске, а идеально защищенных систем не бывает в природе, и все, что написал человек, может быть взломано им же.

Если обратить внимание на статистику, любезно предоставляемую нам антивирусными компаниями, то в глубине души возникают совершенно противоречивые чувства. Кто-то заверяет, что мы в полной безопасности, и массовых эпидемий уже не случится (что лично меня немного удивляет), а другие, напротив, рапортуют о разработанном в недрах компании proof-of-concept exploit'е, способного пройти любые защитные механизмы в считанные секунды. Хакеров останавливают лишь вездесущие спецслужбы, активно борющиеся с киберпреступлениями. Зная уровень подготовки сегодняшних стражей порядка (кроме меня, никто не удивился истории о тринадцатилетнем оршанском хакере?), можно сделать вывод, что злоумышленников останавливает не страх перед наказанием, а отсутствие смекалки для изобретения новых способов обхода защитных механизмов.

За все время существования человеческой цивилизации было рождено немало мифов. Это сейчас, в двадцать первом веке, мы с уверенностью можем сказать, что чернокнижники и ведьмы - сказки святой инквизиции, зато в пятнадцатом веке люди так не считали. На мой взгляд, то же самое творится и сейчас, а именно - массовое помрачение общественного сознания в страхе перед неизвестным. Мало кто из пользователей сможет объяснить, как работают компьютерные вирусы, еще меньшее количество народу их дизассемблировало. Бывалый реверсер скажет вам, что написание долгоживущего вируса - задача, справиться с которой может далеко не каждый вирусописатель. Зачастую все ограничивается тем, что вирус попадает в базу какой-либо компании, и специально обученные люди изучают алгоритмы вторжения, которыми пользовался вирус.

Так что же мешает крупным компаниям ввести в эксплуатацию свободное программное обеспечение, к примеру, операционные системы на основе xBSD или Linux? Ответ прост и лаконичен: "Эти системы не предназначены для настольных решений". Вранье! Причем наглое. Многие западные компании успешно используют компьютеры Mac, которая является той же xBSD, только с красивым "лицом". Тем более, что все популярные офисные решения давно портированы под Mac: будь то Microsoft Office или Adobe Photoshop. Но даже на Западе многие руководители опасаются заменять Windows на что-то более безопасное, так как поддержка компьютеров с *nix на борту существенно отличается от тех же самых компьютеров под управлением Windows. В защиту хочется сказать лишь одно: все дело в привычке. Человек, десять лет проработавший в операционных системах от всем известной корпорации, просто физически не сможет привыкнуть к "новым" интерфейсам вроде GNOME или KDE. С этим уже ничего не поделаешь.

Основное достоинство UNIX в том, что системных вызовов там - около сотни, реально используются около сорока из них. Для сравнения, Windows содержит что-то около 100 тыс. API-функций, вызываемых ядром из тысяч мест, причем с сотней разношерстных параметров. Программист, пусть даже очень опытный, вынужден таскать с собой кучу учебников, чтобы хоть как-то ориентироваться в хаосе операционной системы. А если бы парни из корпорации Microsoft внимательно слушали лекции в своих университетах, то проблем в их ОС было бы гораздо меньше. Именно в университете на пальцах разъясняют принцип Keep It Simple Stupid (оставь это простым, болван), если следовать которому, большинство ошибок проектирования как рукой снимает. Если вы все еще не уверены, то ознакомьтесь с операционной системой OpenBSD.

Linux за несколько последних лет уже не вызывает ужаса в глазах обывателей. Нацепив приятный интерфейс (привет, KDE!), обзавелся графическими мастерами, в общем, вплотную приблизился к Windows. И именно это меня и пугает: попытки научить систему тому, что должен делать администратор, уже были, и наиболее удачная из них - Windows 7, где ОС лучше знает, что и как должно работать. Корпорация Microsoft упорно настаивает на том, что свобода и безопасность - взаимно исключающие понятия. Автоматика, конечно, вещь хорошая, но только не тогда, когда речь заходит о безопасности. Искусственный интеллект еще далек от совершенства, и все его "выдумки", сверхсовременные эвристические механизмы обходятся буквально за пару часов работы, и остановить малварь, написанную гуру вирусописательства, они не в состоянии. То же можно сказать и о современных межсетевых экранах и антивирусах. Моя подруга, к примеру, вряд ли задумается над сообщением брандмауэра, которое рассказывает ей об изменении контрольной суммы исполняемого файла. Любой неискушенный пользователь, не задумываясь, нажмет кнопку "Yes" и продолжит работу. Так, может, создателям защитного программного обеспечения стоит задуматься о внедрении некой автоматики в свои продукты? Опытный пользователь будет получать полный отчет о событиях, фиксируемых межсетевым экраном, а новичок получит режим "автопилот", в котором программа сама решит, стоит ли расценивать то или иное действие как угрозу безопасности. Но это - идеал, которого не достичь, и среднестатистический пользователь не должен впадать в ступор, слыша слова "протокол" или "порт". Но, как я могу судить, квалификация преподавателей информатики, что в школах, что в высших учебных заведениях, оставляет желать лучшего, и единственное, на что способны такие "учителя", - рассказать, как же правильно строить таблицы в Excel.

Мудрость, проверенная годами: "как не ограничивай права пользователя в Windows, все равно он, гад, может навредить". Было бы желание, как говорится. Тем более, даже в бизнес-секторе существуют тысячи (если не миллионы) программ, элементарно не работающие в том случае, если не дать им администраторских прав. И вина в этом отнюдь не разработчика, а самой корпорации Microsoft, которая запрещает "левым" программам устанавливать свои драйверы в систему из-под непривилегированного пользователя. Как итог - администратор устанавливает десять/сто/тысячу (нужное подчеркнуть) сторонних модулей, один из которых, по закону подлости, непременно окажется уязвим.

У читателя, должно быть, сложилось впечатление, что я всячески пытаюсь отговорить его от использования продуктов корпорации Microsoft и перейти на открытое программное обеспечение. Уверяю вас, это не так. По моему скромному мнению, проприетарное ПО ничуть не хуже открытого, и все проблемы с безопасностью лежат аккурат между пользователем и клавиатурой. Любая операционная система состоит из миллионов строк кода, некоторые из них не изменяются десятилетиями (в Windows Server 2008 R2 есть ряд компонентов, написанных еще в 88-90 годах прошлого века), и переписывание кода "с нуля" применяется лишь в редких случаях. Зачастую на код накладываются все новые и новые слои абстракции, в итоге образующие весьма шаткое сооружение. Исключив всего один компонент, программист рискует "поломать" целую программу, что весьма негативно отразится и на его, программиста, зарплате. Вот и получается, что некоторые фрагменты кода, спроектированные еще в восьмидесятых, сейчас сталкиваются с условиями, работать в которых им весьма проблематично.

А если в мире остались евангелисты, свято верующие в то, что горячо любимый ими Linux был написан с нуля, то... счастливые они люди! Линус Торвальдс написал свою операционную систему, основываясь на учебной ОС Minix, и, впоследствии, не раз "слизывал" куски кода у xBSD. В этом и состоит фундаментальная проблема программирования: постоянное совершенствование старого кода уменьшает количество наслоений и, соответственно, количество ошибок. Взять, к примеру, две системы из семейства xBSD: OpenBSD и FreeBSD. Первая десятилетием отшлифовывала свой код и добилась потрясающих результатов: всего две критические уязвимости за все время существования, а вторая же... В общем, дела там обстоят многим хуже. А про операционные системы семейства Windows даже и говорить не хочется - достаточно взглянуть, насколько потяжелел дистрибутив Windows 7, по сравнению с Windows XP. Ну а что касается Linux - в своем стремлении переманить пользователя некоторые создатели дистрибутивов постепенно лишают нас всякой возможности по самостоятельной настройке системы, заменяя командную строку графическим интерфейсом. Для профессионалов такие "телодвижения" слишком уж, простите, противны, а для новичков Linux все еще не достиг того уровня, который позволит пользователю "безболезненно" мигрировать с Windows. И ведь говорят, что 2010 год - год Линукса на десктопах. А я улыбаюсь, понимая, что где-то я это уже слышал. В конечном итоге, на мой взгляд, Linux в своем стремлении объять необъятное разрастется в чудовище похуже, чем то, что сейчас предлагает нам Microsoft. Либо возвратится к истокам, смирившись с ролью операционной системы для энтузиастов и ударников пролетариата.

Кристиан КАРМАК

Версия для печатиВерсия для печати

Номер: 

12 за 2010 год

Рубрика: 

Размышлизмы
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike
>монтируешь корневую файловую систему взламываемого компа

И КУДА ты её смонтируешь?

>копируешь в /etc свои файлы

Я даже могу позволить скопировать т.н. "свои файлы". КАК они запустятся?

>passw...

ГДЕ ты его возьмёшь?

>пароли в файле /etc/ppp/pap-secrets хранятся в открытом виде.

Не смеши. Там нет рутпароля.

>за тобой лекция про стек PPP. Не забыл?

Давай мыло, вышлю.

>За базар надо отвечать

Вот и отвечай. Вопросы ясны? Напомню: КУДА, КАК и ГДЕ.

>Что за бред ты несёшь?

За повтор подобного оскорбления пошлю и больше не буду общаться.

Аватар пользователя Alex
Так парень с Вами вcё ясно.Учите основы Linux :)
Аватар пользователя mike
Alex отмалчивается. И правильно. Если он имел в виду загруз компа жертвы с LiveCD, флэшки или по сети, то это, сорри, полный дилетантизм. Я промолчу о ключах для квартиры, где стоит комп, в котором эти прелести отключены в запароленном БИОСе.
Аватар пользователя mike
>Учите основы Linux

Учу. И вам советую.

Аватар пользователя Логик
Хм, всегда считал, что если есть дыра, то взломать можно через нее любой комп под любую Ось.

А дыра есть всегда (время от времени об их обнаружении сообщается, а потом о том, что эти найденные дыры заделываются) ибо либо софт все более пристально изучается на предмет наличия дыр, либо софт развивается порождая ... новые дыры.

И никакие ухищрения с "неизменяемыми системные файлами Оси" , но содержащие дыры в своем коде, - тут не помогут.

Аватар пользователя Инкогнито
... возьмем к примеру девственность.....

вроде все закрыто, но методом брутального подбора ключевой фразы.....

Аватар пользователя mike
Фишка в том, КЕМ дыры обнаруживаются. Но к чёрту полемику ради полемики. Особенно с невнятно излагающими свои доводы.
Аватар пользователя Инкогнито
mike (old student)

3 апреля 2010 года, 22:09

Фишка в том, КЕМ дыры обнаруживаются.

Теми, кто привык в дырах копаться! Хакерами или ё***@ми профессиналами!

Аватар пользователя logmein64
безопасность и продукты микрософт вместе не ассоциируются, как понял из прочитанного на сайтах ломается через интернет эксплорер независимо от версии Windows Seven у вас или виста с последними патчами, уже через него монтируется файловая система и атакующий получает привилегии. Очень сомневаюсь что можно получить доступ перебором паролей на 22 порт.
Аватар пользователя Логик
mike (old student) > Фишка в том, КЕМ дыры обнаруживаются.

Это НЕ важно. Они обнаруживаются и помещаются в БАЗУ ДЫР.

Потом ПРОСТОЙ ВИРУСОПИСАТЕЛЬ просто выбирает(!) из базы (есть тулзы) ту(те) дыру(дыры), через которую его вирус будет проникать в систему - и все - код взлома автоматом помещается в его доморощенный вирус.

Страницы