Каждый, кто летает самолетом, знаком с довольно хлопотной процедурой предполетного досмотра: очередь к «рамке», возня с тазиками для обуви и одежды, выброшенные в корзину маникюрные ножницы, бутылки с минералкой и прочие несовместимые с полетом предметы. Весьма неудобно для пассажиров, но таковы требования безопасности.
Это касается любой области: хочешь сохранить жизнь в ДТП — не поленись пристегнуться (неудобно), хочешь обезопасить себя от гриппа — ходи в ватно‑марлевой повязке (тоже неудобно) и т. д. Должна ли быть исключением информационная безопасность? На нескольких примерах мы посмотрим, как компьютерные технологии, которые в первую очередь тяготеют именно к удобству пользователя, постоянно заставляют его расплачиваться безопасностью.
Бумажка терпит
Одна из сложно решаемых задач в плоскости «удобство — безопасность» — это аутентификация. Именно аутентификация — процедура надежного опознавания пользователя (а в более широком смысле — также устройств, программ) — ключевой механизм системы безопасности. Методов аутентификации пользователей, по сути, всего три (ничего другого пока не придумано): по паролю (секретной последовательности, известной только пользователю), по физическому носителю (по тому же паролю, только записанному на смарт‑карту, USB‑устройство и т. д.) и по биометрическим данным.
Исторически первым и удобным средством аутентификации был пароль. Он же остается таковым и по сей день. При условии, что пароль выбран случайно, из большого алфавита и достаточно длинный, гарантирована невозможность подбора даже с применением мощного компьютера. PIN‑кодов из четырех цифр всего 10 тысяч, поэтому в банкоматах и мобильных телефонах ограничивают число попыток ввода. А вот 8‑значных паролей типа «цифры+буквы+регистр» (именно такие пароли используются в более или менее защищенных системах) будет уже 218 триллионов.
Но пользователю легче запомнить пароль из имени любимой собаки, чем выданную администратором абракадабру вроде «Khp5dsGY». Как следствие, использование неслучайных паролей открывает возможность «атаки по словарю», а это сокращает время на подбор пароля в разы, сдвинув его из теоретической области (несколько сотен лет) в практическую (пару часов).
Вопрос для самоконтроля: что будет, если заставить среднестатистического пользователя использовать случайный длинный пароль? Такая возможность есть у администратора. Правильно, он запишет на листочке и приклеит к монитору — удобно. Более осторожные спрячут листочек под клавиатуру или под мышиный коврик. О безопасности в этом случае говорить неуместно.
От необходимости запоминать пароли избавляют физические носители — магнитные карты, USB‑ключи и т. д., но они могут быть утеряны или украдены. Много надежд в свое время возлагалось на биометрию, как удобное и безопасное средство аутентификации. Действительно, сама природа побеспокоилась, чтобы у каждого из нас был свой уникальный «пароль» на папиллярном рисунке кожи пальцев, на радужной оболочке глаза, в голосе, лице, жестах и походке. Именно по биометрическим характеристикам мы друг друга и аутентифицируем*.
Настоящий бум на биометрические системы начался после событий 11 сентября 2001 года, когда США бросили миллиарды долларов в попытке чисто технологически решить проблему борьбы с терроризмом. С 2005 года желающие въехать в Соединенные Штаты обязаны иметь в своих визах либо паспортах биометрическую информацию для аутентификации; отголоски той истерии мы ощущаем до сих пор, стоя в очередях за «биометрическими» загранпаспортами. Тут-то как раз вроде бы ради безопасности пожертвовали удобством. Но вот, например, опыт системы FaceIt, которая была установлена во многих американских аэропортах и предназначалась для опознания преступников по базе фотографий, показал, что здесь нет ни безопасности (не удалось задержать ни одного преступника), ни удобства (ложными срабатываниями система доводила полицейских просто до исступления). Это касается и других методов биометрической аутентификации. Например, в начале 2002 года японский криптограф Цутомо Мацумото наглядно продемонстрировал, что с помощью «суперклея», желатина и формовочного пластика по отпечатку пальца (!) можно изготовить его муляж, «признаваемый» биометрическим сканером. Аналогичные результаты были получены и другими энтузиастами, о чем можно узнать, например, в книге Б. Киви «Гигабайты власти» (электронную версию можно найти на lib.rus.ec). Стоит ли удивляться, что бум на биометрию как на панацею сошел на нет, перейдя в фазу практического использования там, где она действительно эффективна?
Удобство как среда размножения вирусов
Мнимые удобства, размноженные в миллионах копий программного обеспечения, — причина появления многих вирусов, которых могло бы не быть, если бы разработчики ПО уделяли больше внимания безопасности, а не занижали свои оценки интеллектуальных способностей пользователей.
Наглядный пример — функция Autoplay или Autorun, которая появилась в Windows 95. Как только система обнаруживает новый сменный носитель (предполагалось, что это будет только CD ROM), она пытается найти файл autorun.inf и в случае успеха автоматически выполняет команды, прописанные в этом файле. Задумано это было, кстати, чтобы снизить затраты на звонки пользователей в службу поддержки. Ведь так здорово: пользователь вставляет в компьютер компакт-диск, и, немного пожужжав дисководом, компьютер автоматически запускает программу установки. Видно, не все пользователи знают, что для установки программы необходимо найти на диске файл setup.exe и запустить его.
В общем-то, угрозы эта функция не представляла до тех пор, пока дело касалось дисков CD ROM, на которые в принципе ничего нельзя записать. Но стоило распространиться «флешкам» и другим запоминающим USB устройствам, куда как раз можно записывать информацию, как autorun вирусы бодро зашагали по планете. Пик эпидемий пришелся на 2007-2008 годы (то есть «дыра» ждала своего часа 10 лет), когда каждый месяц появлялась сотня новых вирусов, «отъедавших» 20-30% всех вирусных атак. Все повторяется: еще в «ДОСовские» времена одним из любимых мест их обитания (правда, легко обнаруживаемых) был пакетный файл autoexec.bat. Только когда ста ло ясно, что лучше пожертвовать мнимым удобством: по умолчанию в Windows Vista эта функция выключена**. Пятнадцать лет понадобилось Microsoft, чтобы прийти к выводу: «автозапуск» должен быть выключен по умолчанию.
Из той же серии и меню «Автозагрузка» (StartUp) — группа программ, которая существует в Windows с незапамятных времен (версии 3.11). Туда можно прописать программы, которые автоматически запускаются вместе со стартом ОС. Кстати, сами пользователи к этой возможности прибегают очень редко, зато для распространения вирусов и троянских программ это весьма заманчивое место. Конечно, прописать себя прямо в «Автозагрузку» решится только вирус самоубийца. Для умных вирусов есть аналогичная по функции часть реестра Windows, которая как раз труднодоступна для контроля пользователей. Обращаться с редактором regedit способен далеко не каждый, но есть масса программ, которые позволяют заглянуть в это небезопасное нутро. Установите, например, бесплатную программу отечественного производства Anvir Task Manager — и вы удивитесь тому, какое количество программ запускается вместе с Windows…
Анализ вирусных эпидемий прошлых лет заставляет в этом свете вспомнить и про макровирусы, доставившие много проблем пользователям. Чаще всего они, наверное, даже и не понимали, что расплачиваются потерянными нервами и временем за удобство, которое несли в себе макрокоманды (макросы), появившиеся еще в ранних версиях редактора Microsoft Word. Конечно, макросы создавались для того, чтобы пользователь мог автоматизировать рутинные операции обработки текстового документа. Для пущего комфорта какие то макрокоманды можно было заставить выполняться каждый раз при открытии документа.
Результат не заставил себя ждать. В 1996 году появился первый ма кровирус Concept, еще относительно невинный. Спустя три года дру гой макровирус — Melissa, с функцией почтового червя, — стал одним из первых вирусов, ущерб от которого во всем мире превысил 1 млрд долларов. Многовато за удобство, которое к тому же подавляющее число людей так и не оценило. Опять Microsoft пришлось в более поздних версиях Office предупреждать пользователей и по умолча нию отключать исполнение подозрительных макросов.
Беспроводность против безопасности
Особую заботу у специалистов по безопасности вызывают беспроводные технологии. Тоже наглядный пример: на обратной стороне красивой рекламной картинки (благостного вида менеджер перемещается свободно по офису с ноутбуком и чашкой кофе) приводятся конкретные инструкции по взлому Wi Fi сетей. Появился даже новый вид спорта — вардрайвинг (англ. wardriving — «боевое вождение»), смысл которого заключен в поиске и взломе уязвимых точек доступа беспроводных сетей Wi Fi хакерами (как правило, на автомобилях — отсюда и название) при помощи переносного компьютера с Wi Fi адаптером.
Поскольку трафик, передаваемый по радиоканалу, в принципе не защищен от прослушивания и изменения, в технологии Wi Fi изначально был встроен механизм шифрования канала***. Первым протоколом стал WEP (1999 год), который использовал 40 битные ключи и довольно распространенный алгоритм RC4. Уже тогда перебор всех ключей (их около 500 млрд) не представлял проблем для обычного персонального компьютера.
Производители оборудования перешли на 104 битные ключи, полный перебор оказался исключен, и тогда за дело взялись крипто-аналитики, которые обнаружили уязвимость в самом алгоритме RC4****. Результат — возможность взлома за часы и даже минуты. В 2003 году альянс Wi Fi принял новый протокол — WPA (затем, в 2004 году, WPA2), а прежний WEP признал непригодным с точки зрения безопасности. Но, как показывает опыт, от врожденной уязвимости избавиться очень трудно: требуется или замена/обновление программно-аппаратных средств, или ручные операции со стороны пользователей, к которым те совершенно не склонны. На волне интереса к WiFi было закуплено много оборудования, которое работает только с WEP, и просто так выбрасывать его мало кому хочется, так же, как и вчитываться в содержимое сайтов производителей, предлагающих инструкции по повышению безопасности.
Довольно интересны в этом плане результаты вардрайвинга, кото рый провела «Информзащита» в Москве в 2005 году: только 5% всех точек доступа использовали более защищенный протокол WPA; 12% применяли настройки «по умолчанию» (весьма небезопасные). То есть производители добились от потребителей того, чего хотели: це почки «купи, включи и ни о чем не думай».
К слову, нет гарантии и того, что WPA безгрешен. Например, в но ябре прошлого года был представлен способ за 15 минут найти ключ для чтения и даже навязывания данных, передаваемых от точки досту па клиентской машине, а также передавать поддельную информацию на клиентскую машину. В целом, современный WPA2 считается пока неуязвимым. Но надолго ли?
***
Конечно, не стоит драматизировать принципиальную противоре чивость удобства и безопасности. Перечень рассмотренных примеров не претендует на полноту, да и в каждой из перечисленных уязвимос тей гораздо больше нюансов, чем это можно изложить в небольшой публикации. Цель этой статьи лишь в том, чтобы показать: источни ком проблем становятся избыточные удобства, которые зачастую да же и не востребуются людьми.
Вернемся к некомпьютерным областям, где на первое место ставится безопасность (автомобильная, авиационная, пожарная безопасность), а не удобство. Глядя на бесконечные новости об инцидентах компьютерной безопасности, задаешься здравым вопросом: а почему бы эту гегелевскую философию не поставить по марксистски «с головы на ноги»?
_______________________________________________________
* Иногда зря, потому что, доверяя опознанию человека по голосу, легко стать жертвой преступника: это встречается в человеческой истории от сказки про семерых козлят до сюжетов программы «Чрезвычайное происшествие».
** Примечательно, что сама уязвимость осознана гораздо раньше; практически сразу была введена возможность отключения autorun, но лишь незна чительная часть пользователей читает бюллетени Microsoft, а в механизме отключения был допущен баг, который все равно оставлял путь вирусам.
*** Строго говоря, одного шифрования в таких устройствах мало. Нужна еще и аутентификация, защищающая от несанкционированного подключения посто ронних устройств, — а она появилась только в WPA.
**** Fluhrer, Mantin, Shamir, 2001.
версия для печати
другие статьи автора
оставить комментарий (0) 
