Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

• В конце 1999 года было взломано шифрование цифровых видеодисков (DVD). Если даже диск зашифрован, ключ для дешифрования должен быть в проигрывателе. Иначе и быть не может. Все было в порядке, пока проигрыватели оставались защищенными от взлома физическими устройствами, но с момента создания программного проигрывателя ключи присутствуют в программах. Кто-то просто произвел анализ программы и нашел ключ, таким образом, содержание видеодисков теперь может копироваться и распространяться через Интернет.

• В 1980 году при проведении Пенсильванской лотереи ее ведущий и несколько рабочих сцены, с которыми он был в сговоре, подтасовали пинг-понговые шарики, использовавшиеся в розыгрыше, и выиграли 1,2 миллиона долларов. Никто не предполагал возможности такого сложного сговора. В настоящее время проведение лотереи контролируется более тщательно. (Подобное происшествие, но уже вследствие случайной ошибки, имело место при проведении Аризонской лотереи. В 1998 году кто-то обратил внимание на то, что в выигрышных номерах нет ни одной девятки. Оказалось, что алгоритм генерации псевдослучайных чисел содержит элементарную программную ошибку. Кажется, пингпонговые шарики надежнее компьютеров.)

Правила дорожного движения большинства европейских стран предписывают использование на грузовых автомобилях устройства, называемого тахограф, который присоединяется к спидометру и фиксирует скорость, пройденное расстояние и другие сведения. Тахограф записывает показания спидометра на бумажную ленту, на которой водитель ставит свою подпись и дату; лента затем хранится какое-то время. Здесь трудно было что-либо подделать, и попытки обмана совершались чаще с использованием слабостей процедуры, а не технологии. Недавно Европейский союз начал финансирование проекта «Тахосмарт» для создания полностью цифрового устройства взамен старого тахографа. Любая подобная система открыта для всех видов нападений, описанных в этой книге (хуже всего, что новое устройство, похоже, будет основано на использовании смарт-карт и будет еще менее надежным).

Приведенные примеры интересны тем, что нападающие использовали не недостатки мер противодействия, а просчеты модели безопасности. Во всех случаях меры противодействия существовали, но они не решали истинную проблему. Хотя они могли преодолеть некоторые смежные проблемы. И в некоторых случаях решения создавали еще большие проблемы, нежели те, с которыми удавалось справиться.

Если достаточно долго заниматься моделированием угроз, станет ясно, что понятие «система безопасности» имеет различные значения в зависимости от ситуации. Вот несколько примеров:

• Компьютеры, используемые в деловой сфере, должны быть защищены от хакеров, преступников и промышленных конкурентов. Военные компьютеры должны быть надежно защищены от тех же угроз, а также от проникновения вражеских военных сил. Некоторые коммерческие компьютеры, обслуживающие телефонные сети, также должны быть защищены от вторжений военных противников.

• Многие городские транспортные системы используют проездные карточки вместо наличных денег. Подобные им телефонные карты применяются повсюду и в Европе и в Азии. Такие системы обязаны быть застрахованы от всевозможных подделок. Конечно, это не проблема, если подделки обходятся дороже, чем настоящие карты.

• Программы безопасности электронной почты должны обеспечить защиту корреспонденции от любых попыток перлюстрации и внесения в нее изменений. Конечно, во многих случаях программными средствами невозможно обезопасить себя от некоторых манипуляций: это троянский конь в компьютере, атаки TEMPEST, видеокамера, которая может считывать с экрана, и т. д. Телефоны, использующие кодирование, имеют тот же недостаток: они сумеют обеспечить тайну переговоров в дороге, но бессильны против «жучков» в помещении.

Хитрость заключается в том, чтобы разрабатывать систему в расчете на реальные угрозы, а не использовать технологии безопасности все подряд в надежде, что из этого что-нибудь получится. Для чего необходимо выработать политику безопасности (иногда называемую моделью безопасности), основанную на анализе угроз, и уже затем разрабатывать механизмы защиты, которые реализуют эту политику и противодействуют угрозам.

Политика безопасности системы подобна внешней политике правительства: она определяет цели и задачи. Когда правительство обвиняют в непоследовательности во внешней политике, это происходит потому, что в его действиях отсутствует логика и нет общей стратегии. Точно так же без политики безопасности меры противодействия цифровой системы будут неупорядочены. Политика – это способ обеспечить всеобщую взаимосвязь.

Хорошая политика формируется как ответ на угрозу. Если угрозы отсутствуют, то нет и политики: каждый может делать все что угодно. Соединенные Штаты нуждаются во внешней политике ввиду угроз со стороны других государств. Штат Пенсильвания не нуждается во внешней политике, потому что остальные штаты не представляют для него опасности. То же самое с политикой безопасности – она необходима, потому что моделирование угроз не заканчивается пустой страницей. Политика безопасности определяет рамки, в которых осуществляются выбор и реализация мер противодействия.

Большая часть этой книги посвящена тактике, а политика имеет дело со стратегией. Вы не можете решить, какие виды защиты от мошенничества нужно использовать в сотовом телефоне, пока у вас нет стратегии реализации этих контрмер. Вы не можете ожидать, что дюжина инженеров, каждый из которых отвечает за безопасность одной маленькой части системы, будут вести себя согласованно, если нет общей политики, направляющей их работу. О политике безопасности помнят всегда, когда определяют и реализуют меры противодействия.

Не нужно доказывать, что каждая организация нуждается в политике безопасности для своей компьютерной сети. Политика должна очерчивать границы ответственности (кто отвечает за ее реализацию, проведение в жизнь, проверку, пересмотр), определять, что является основой политики безопасности сети и почему именно это. Последнее замечание очень важно, так как произвольная политика, «спущенная сверху» без объяснений, скорее всего, будет проигнорирована. Более правдоподобно, что сотрудники станут следовать ясной, краткой, логичной и последовательной политике.

Политика безопасности – это то, как вы определяете, какие меры противодействия использовать. Нужен ли вам брандмауэр? Как его сконфигурировать? Нужны ли маркеры доступа или достаточно использования паролей? Можно ли пользователям разрешить доступ к видео с их браузеров? Если нет никакой политики, то нет и возможности логически обосновать ответы на эти вопросы.