Балансы безопасности
АрхивОбщеизвестная истина гласит, что обеспечение безопасности - всегда поиск баланса между взаимно противоречивыми требованиями. Максимально безопасная система столь дорога и сложна, что практически непригодна к использованию. И наоборот, удобная в употреблении система почти наверняка небезопасна.
Общеизвестная истина гласит, что обеспечение безопасности - всегда поиск баланса между взаимно противоречивыми требованиями. Максимально безопасная система столь дорога и сложна, что практически непригодна к использованию. И наоборот, удобная в употреблении система почти наверняка небезопасна. Опять же очень важно, для кого небезопасна - для продавца, владельца, пользователя или правоохранительных органов, ибо интересы этих сторон далеко не совпадают, а любой компромисс непременно ущемляет кого-то. Как правило, конечных пользователей - но не всегда.
Вот, скажем, Microsoft только что пришлось пойти на серьезную уступку в угоду требованиям Еврокомиссии и пересмотреть свою позицию в вопросах защиты ОС Windows Vista. До выхода "Висты" в широкую продажу осталось всего ничего, однако ныне приходится разрабатывать для ОС новые API (интерфейсы программирования приложений), ибо под нажимом Европы корпорация в последний момент все-таки согласилась на изменения в задуманной системе безопасности. Новые API должны позволить и другим фирмам, специализирующимся на средствах защиты, встраивать свои программы в систему на том уровне, который устраивает их, а не Microsoft. В частности, сторонние разработчики антивирусов, файрволлов и прочего подобного ПО получат возможность обходить PatchGuard, подсистему защиты Vista, ограничивающую доступ к ядру ОС. Также разработчики смогут теперь блокировать сообщения подсистемы Windows Security Center, следящей за общим состоянием безопасности компьютера и регулярно извещающей пользователей о потенциальных дырах в защите. То же самое делают консоли безопасности специализированного ПО других фирм, а значит, установившие его пользователи по старой схеме получали бы все подобные предупреждения дважды. Ныне проблемы решены, но компромисс есть компромисс - и на полное отключение PatchGuard или Windows Security Center в Microsoft категорически не согласились, пообещав лишь средства для "мирного сосуществования".
Пример иного подхода к уравновешиванию противоречивых требований безопасности продемонстрировала небольшая компания ProtectDisc, по заказу голливудской киноиндустрии создавшая Protect DVD-Video - средство защиты оптодисков от копирования. Важнейшим элементом этой технологии стала нестандартная файловая система UDF, позволяющая при считывании DVD на ПК придать якобы нулевой размер информационному файлу IFO (хранящему данные о частях фильма, субтитрах и аудиотреках). По этой причине защищенный видеодиск не будет читаться Windows Media Player или любым другим софтверным плейером на основе DirectShow. Иначе говоря, пользователь, легально купивший фирменный DVD, теряет возможность посмотреть его на собственном ПК или компьютерном медиацентре. Точнее, это можно сделать, но либо на специальном плейере, идущем в комплекте с DVD, либо с помощью "левых" программ, снимающих с DVD любую защиту. Буквально через несколько дней после появления Protect DVD-Video была выпущена, к примеру, обновленная версия известной программы AnyDVD, успешно обходящая и этот барьер. А значит, индустрия развлечений в своих попытках борьбы с пиратством в очередной раз выстрелила не по той мишени. У пиратов-то с Protect DVD-Video не будет никаких проблем, а вот люди, покупающие только лицензионные товары, наверняка обретут головную боль.
Помимо продавцов и покупателей, как уже говорилось, еще одной заинтересованной стороной в вопросах безопасности зачастую выступают правоохранительные органы, чьи интересы нередко идут вразрез с интересами всех остальных, ибо для органов бывает важнее не столько защита, сколько эффективные средства ее обхода. Одну из серьезных проблем для полиции и спецслужб в этой области до недавнего времени представляли средства IP-телефонии, особенно использующие тотальное шифрование пакетов, вроде популярной системы Skype. Потом выяснилось, что проблему эту органы правопорядка в целом решили, а уж каким образом - не каждому положено знать.
Ныне, благодаря расследованию журналистов газеты SonntagsZeitung, стало известно, как с этой задачей справились, в частности, в Швейцарии (а коль скоро компьютеры и сети везде одинаковые, в других странах наверняка сделано нечто подобное). Специальное программное обеспечение для контроля за VoIP-связью, разработанное швейцарской компанией ERA IT Solutions, представляет собой, по сути дела, трояна, предназначенного исключительно для государственных следственных органов. Столь строгое позиционирование продукта не позволяет ему засветиться в базах антивирусных фирм. А межсетевые экраны-файрволлы, по словам разработчиков, вообще не представляют препятствия для их программы. Установка шпиона в компьютер "клиента" осуществляется только на основе судебного решения (во всяком случае, так официально считается) самим интернет-провайдером, предоставляющим подозреваемому доступ в Сеть. Программа-закладка записывает все ведущиеся через IP телефонные переговоры и скрытно отсылает их "куда надо" мелкими неприметными порциями.
По понятным причинам этот проект старались держать в строжайшей тайне, так как успех данной программы зависит от степени секретности, ее окружающей, а равно препятствует ее утеканию к злоумышленникам. Однако преступники могут сидеть на постах любой высоты, как показали недавние аресты в соседней Италии, где криминальный "кооператив" по сбору компромата на десятки тысяч людей организовали замдиректора военной разведки SISMI, начальник службы безопасности крупнейшего провайдера связи Italia Telecom и глава ряда частных сыскных агентств. Фигуры же такого масштаба делают проблему балансировки средств безопасности не то чтобы неразрешимой, но оторванной от реальности.