Итоги Итоги - Итоги № 40 (2013)

«Это ПО, которое имеет открытый доступ к исходному коду, — поясняет Сергей Вихорев, заместитель генерального директора по развитию «ЭЛВИС ПЛЮС». — Но что это дает для обеспечения защиты? Теоретически доступ к исходному коду позволяет выявить не только ошибки, но и те самые «черные двери», если они существуют. Но вопрос в другом: кто это способен сделать?» Блондинка, выкладывающая в соцсети фото с вчерашней вечеринки? Баба Маня из деревни Гадюкино, осваивающая портал госуслуг? Кто даст гарантии, что среди СПО-профессионалов нашлось несколько бескорыстных энтузиастов, которые прочесали миллионы строк кода на предмет закладок? Даже честность основателя Linux Линуса Торвальдса поставлена под сомнение — программисты подняли шум из-за генератора псевдослучайных чисел (опять этот генератор!), разработанного компанией Intel, который Торвальдс включил когда-то своей властью в ядро Linux.

Дмитрий Белявский не верит в возможность принудительного внедрения «черных ходов» в алгоритмы шифрования в открытом софте типа OpenSSL или GnuTLS. Однако напоминает, что сами эти алгоритмы Шнайер тоже считает надежными, хотя стандарты NIST на их базовую математику эллиптических кривых вызывают сомнения — никто не знает, откуда взялись начальные параметры некоторых кривых и не умеет ли АНБ использовать их в своих целях. «Наверное, на волне интереса к безопасности информационного взаимодействия компании из сферы IT-секьюрити смогут дополнительно заработать денег»,— резюмирует Сергей Кирюшкин, советник гендиректора компании «Газинформсервис». Но вот вопрос: как справится обычный пользователь с комплектом рекомендуемого Шнайером защитного ПО? Ведь сам Брюс признается, что далеко не всегда следует собственным советам, поскольку удобство часто перевешивает профессиональную осторожность. Другое дело, что далеко не все обыватели поддерживают алармизм Шнайера.

Действительно, разве плохо, что в США не было с 2001 года инцидентов масштабов «11 сентября»? «Если на одной чаше весов — риск того, что кто-то прочтет мою переписку, а на другой — шанс поймать террориста, спасти сотни или тысячи жизней, я за меры, которые помогают снизить угрозу терроризма», — считает Сергей Потанин, начальник Центра информационной безопасности банка «Союз». Правда, в предложениях Шнайера просматривается еще одна идея, близкая многим обывателям, — создание глобального безопасного Интернета.

За мир во всем мире

Концепция доверенной среды — важный постулат теории информационной безопасности. Вопрос в том, можно ли реально сделать ее всемирной? Господин Шнайер сводит проблему доверия — случайно или намеренно — к аппаратной и программной платформам, к каналам передачи информации. А она на самом деле гораздо шире, подчеркивает Сергей Вихорев: «Для того чтобы среда была доверенной, надо обеспечить доверие ко всему, что ее формирует: к окружению и субъектам, правилам функционирования». А это значит, что не должно быть загадок, что за ПО записано в BIOS вашего компьютера или закрытой области процессора. «Разговоры о создании Интернета-2, то есть защищенной Сети, идут давно,— напоминает эксперт. — Однако пока не будет принято политическое решение и страны не научатся не только вводить какие-то правила, но и строго их выполнять, все останется на уровне разговоров».

Кстати, уж полтора десятка лет тому, как на свет божий появился руководящий документ ФСТЭК России (тогда Гостехкомиссии России) о контроле за отсутствием недекларированных возможностей в ПО, а организации, в том числе государственные, продолжают закупать зарубежное оборудование и ПО, закрывая глаза на опасность получить закладку. Путешествие по Сети сегодня сродни плаванию в нейтральных водах, где у каждой страны есть свои правила. «Однако же суда ходят! — подчеркивает Сергей Вихорев. — И с нарушениями безопасности (читай — пиратством) борются! Где надо, информацией обмениваются, а где надо, ее скрывают. Правда, для того чтобы все оказалось так, пришлось создать международное морское право». Но с правовой точки зрения единый защищенный Интернет — это непаханая целина.

Вассал моего вассала

Николай Федотов подметил интересный парадокс: «Интернет концентрирует в себе самые передовые технические идеи. Но при этом в гуманитарном отношении Сеть — это самая отсталая часть современной цивилизации, где-то на уровне Средневековья». В чем это выражается? Пожалуйста: дикие сетевые «племена», живущие без малейшей оглядки как на национальное, так и международное законодательство. Вольные города и самозваные вожди. Кровная месть и право первой ночи. Вассальная зависимость и идеократия. Именно на этом в виртуале сегодня делаются яркие биографии и большие деньги. Вопрос в том, какая модель управления придет на смену племенному реликту. Но на этот вопрос нет однозначного ответа. Есть лишь возможные варианты.

Скажем, в американской модели провайдер не отвечает за действия пользователя, но расплачивается за это обязанностью предоставлять при определенных условиях информацию о нем. В китайской модели, наоборот, провайдер полностью в ответе за действия своих пользователей, но вместе с ответственностью провайдер получает довольно широкие полномочия по контролю за юзером. А вот российской модели пока вообще не существует — ее только предстоит создать. И до тех пор принятие любого закона относительно Рунета будет подобно русскому бунту, бессмысленному и беспощадному, поскольку нет исходных постулатов, с которыми согласны все стороны.

А раз нет четкого представления о том, по каким правилам должны строиться общественные отношения в Сети, невозможно понять, что это за «интересы Интернета», на которые постоянно ссылается Брюс Шнайер в своих писаниях. Как нет единого понятия «люди в Интернете», так нет единого интереса для всех пользователей. Есть интересы законопослушных граждан своих стран, а есть интересы мошенников и злоумышленников. Есть интересы бизнеса, гражданского общества, власти. «Каждый субъект, преследуя свои интересы, создает проблемы другим, — замечает Николай Федотов. — Это означает, что надо согласовывать и балансировать, а не изгонять и ограждать». Вывод простой: мы находимся в задних рядах массовки на той сцене, где создается новый Интернет. На той площадке, где США в лице Брюса Шнайера уже начали продвижение своих моделей функционирования единого глобального Интернета нового поколения и соответствующих инфраструктурных продуктов по всему миру. Самое обидное, что у этой части массовки не наблюдается никакого стремления выбиться на первые роли. «В России имеются своя сильная криптографическая школа и свои криптографические стандарты, — подчеркивает Дмитрий Белявский. — Их реализации проверяются отечественными сертифицирующими органами, и можно полагать, что при их использовании зарубежные закладки не встретятся. Другое дело, что российские алгоритмы недоступны по умолчанию ни в Windows, ни в открытых системах, нужно устанавливать дополнительное ПО, а кому этого хочется? Простого решения тут нет, но построить систему, свободную от закладок на уровне ПО, вполне возможно». Почему это не делается? Такова загадочная инновационная душа современной России: доверять зарубежным поставщикам больше, чем своим, и благодушно наблюдать, как Брюс Шнайер обрабатывает ее граждан, взращивая ненависть к государству.