Секреты и ложь. Безопасность данных в цифровом мире - [181]

Шрифт
Интервал
стала замена устаревшего кода компьютера. Мы все еще подвержены ошибкам, допущенным в аналоговых телефонных системах десятилетия назад и в цифровых сотовых системах годы назад. Мы все еще работаем с опасным Интернетом и ненадежными системами защиты пароля.

Мы также до сих пор еще имеем дело с ненадежными дверными замками, уязвимыми финансовыми системами и несовершенной юридической системой. Но все же ничто из перечисленного не является причиной крушения цивилизации и маловероятно, что станет. И мы не добьемся должной цифровой безопасности, пока не сосредоточим внимание на процессах безопасности, а не на технологиях.

Эта книга постоянно менялась. Я написал две трети книги и осознал, что мне нечем обнадежить читателя. Казалось, возможности технологий безопасности исчерпаны. Мне пришлось отложить рукопись более чем на год, было слишком тягостно работать над ней.

В начале 1999 года я разочаровался в своей консультационной деятельности. Компания Counterpane Systems давала консультации по криптографии и компьютерной безопасности на протяжении нескольких лет, и бизнес быстро развивался. В основном наша работа заключалась в проектировании и анализе. Например, заказчик приходил к нам со своей проблемой, и мы разрабатывали систему, которая была способна противостоять определенным угрозам. Или же заказчик приходил к нам с уже разработанной системой, которая должна была противостоять целому списку угроз, а мы искали просчеты в решении и устраняли их. Мы могли работать до изнеможения. Единственная проблема состояла в том, что наши изящные разработки не выдерживали столкновения с реальным миром. Хорошая криптография постоянно оказывалась неэффективной из-за плохого исполнения. Прошедшие тщательные испытания средства защиты отказывали из-за ошибок, допущенных людьми. Мы делали все, что могли, но системы все же оставались ненадежными.

От криптографии я обратился к безопасности и представлял себе проблему примерно так же, как и военные. Большинство публикаций по вопросам безопасности были проникнуты той же идеей, которую можно кратко сформулировать так: профилактические меры могут обеспечить безопасность.

Для чего используется шифрование? Существует угроза прослушивания, и шифрование должно помешать этому. Представьте себе, что Алиса общается с Бобом, а Ева подслушивает их. Единственный способ помешать Еве узнать, о чем говорят Алиса и Боб, – использовать такое профилактическое средство защиты, как шифрование. В этом случае нет ни обнаружения, ни реагирования. Нет также возможности управлять риском. Поэтому следует заранее отвести угрозу.

В течение нескольких десятилетий мы использовали этот подход к безопасности. Мы рисовали различные схемы. Мы классифицировали различных нападающих и определяли, на что они способны. Мы использовали профилактические меры, такие как шифрование и контроль доступа. Если мы можем отвести угрозы, то мы победили. Если нет – мы пропали.

Вообразите мое удивление, когда я узнал, что в реальном мире такой подход не работает. В апреле 1999 года я прозрел: безопасность связана с управлением рисками, процессы безопасности имеют первостепенное значение, а обнаружение и реагирование – реальные способы улучшить безопасность, и все это могут обеспечить лишь привлеченные независимые компании. Внезапно все стало на свои места. Так что я переписал книгу и преобразовал свою компанию Counterpane Systems в Counterpane Internet Security, Inc. Теперь мы предоставляем услуги по контролю безопасности сетей (обнаружение и реагирование).

Раньше, когда использовалась связь только по радио или телеграфу, такой подход не имел бы смысла. Обнаружение и реагирование были невозможны. Сегодняшний электронный мир сложнее. Нападающий не просто подключается к линии связи. Он взламывает брандмауэр. Он пытается украсть деньги, используя подделанную смарт-карту. Он хозяйничает в сети. Сегодняшний виртуальный мир больше похож на физический со всеми его возможностями.

Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пират-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдворен.

Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.)

В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.

Продолжить чтение
Еще от автора Брюс Шнайер
Кто такие шифропанки?

Движение шифропанков, сформировавшееся в начале девяностых, активно прибегало к «криптографическому оружию», с целью провокации социальных и политических изменений. Термин «шифропанки» впервые употребила Джуд Милхон (хакер, программист и редактор) в качестве игры слов, в адрес группы криптоанархистов. Расцвет деятельности анонимных ремейлеров пришелся на 1997 год, но активисты движения продолжали вести криптовойны за свободу интернета. Многие из них продолжают боевые действия до сих пор, наряду с последователями идей шифропанков 2го и 3го поколений, которые изрядно трансформировали идеалы 90х.

Рекомендуем почитать
Продвижение порталов и интернет-магазинов

Эта книга о том, как продвигать большие сложные проекты. Здесь рассмотрено SEO в самом широком понимании, включая не только информационный поиск, но также PR, маркетинг и работу с контентом вообще. Подробно описываются технологии и подходы, которые непопулярны на рынке. Она о том, как продвигать сайт командой, провести исследование, разработать стратегию и внедрить разработанные технологии в работу.Книга будет интересна настоящим и будущим владельцам или руководителям больших интернет-магазинов и порталов, руководителям отделов продвижения, специалистам, а также всем, кто интересуется SEO.

Готовимся к пенсии: осваиваем Интернет

На живом примере автора книги и ее друзей показано, чем заняться человеку, когда подходит пенсионный возраст. В увлекательной и доступной форме написано, как сделать первые шаги в Интернете, завести почту, найти полезную информацию, общаться в чатах, форумах, блогах и в социальных сетях. Рассмотрены полезные ресурсы для фотолюбителей, дачников, рыбаков, автомобилистов и просто домохозяек. Даны уроки печати на клавиатуре. Рассказано, как завести свой блог, создать свой сайт. Приведена краткая инструкция по возможному заработку в Интернете.Для читателей пенсионного и предпенсионного возраста.

Как сделать свой сайт и заработать на нем. Практическое пособие для начинающих по заработку в Интернете

Данная книга является прекрасным практическим руководством для начинающих по созданию, раскрутке и монетизации сайтов. Уже в процессе знакомства с изданием читатели смогут создать свой первый сайт, не потратив на это ни копейки. Пользователи, имеющие свои веб-проекты, наверняка найдут много нового во второй части книги, посвященной продвижению сайта и заработку на нем.В издании освещаются все основные этапы создания сайтов и получения дополнительного дохода в сети Интернет: поиск идеи интернет-проекта, выбор домена и хостинга, создание сайта, его раскрутка и продвижение в поисковых системах, получение дохода при помощи контекстной рекламы, платных загрузок, партнерских программ и других способов.Если вы хотите получать стабильный ежемесячный дополнительный доход с помощью своего сайта, затратив при этом минимум усилий и материальных затрат, эта книга для вас.

Интернет – легко и просто!

Интернет многие называют величайшим изобретением человечества в сфере информации. Сегодня Интернет набирает в нашей стране популярность, становится все доступнее и актуальнее – и в столице, и в регионах. Как обычному пользователю персонального компьютера научиться использовать все преимущества Всемирной паутины? Какие устройства и программы для этого нужны? С чего начать свой путь по Сети? Где найти нужную вам информацию и как получить ее? Что нужно для общения через Интернет? Под обложкой этой книги вы найдете понятные, конкретные ответы на поставленные вопросы.

Интернет на 100%. Подробный самоучитель: от «чайника» – до профессионала

Интернет давно и прочно проник в нашу жизнь, и без него уже невозможно представить существование человечества. Им активно пользуются представители самых разных слоев нашего общества – независимо от возраста, рода занятий, профессиональной принадлежности, социального положения и иных факторов. Более того – многие приобретают себе компьютер исключительно для того, чтобы иметь постоянный доступ к Интернету.В данной книге мы расскажем о том, как самостоятельно подключиться к Интернету на компьютере с операционной системой Windows 7 Professional, как пользоваться электронной почтой и специальными программами, предназначенными для работы в Интернете.

Информация. Собственность. Интернет. Традиция и новеллы в современном праве

Книга обобщает многолетний опыт соавторов в области правового регулирования информационных отношений, а также их размышления о путях развития современного (как отечественного, так и зарубежного) права в контексте глобальных изменений, которые сопутствуют формированию информационного общества.Центральная проблема, которой посвящена книга — соотношение "информации" (сравнительно нового объекта правового регулирования) и "собственности" (юридического института с многовековой историей). Особое внимание уделяется историческому аспекту: прослеживая эволюцию в толковании данных понятий, авторы представляют на суд читателя выявленные проблемы и пути их решения.