Пиар и безопасность
АрхивКивино гнездоС тех пор как RSA Conference превратилась в ярмарку тщеславия, писать о ней что−либо содержательное стало невозможно. Cобытия в этой области легче отслеживать на менее пафосных мероприятиях, вроде конференции Black Hat.
С тех пор как RSA Conference (интереснейшее некогда мероприятие, собиравшее специалистов по компьютерной безопасности со всего мира) превратилось в гигантскую ярмарку тщеславия, писать о ней что−либо содержательное стало невозможно. Все мало−мальски важные события в этой области куда легче отслеживать на менее пафосных мероприятиях, вроде хакерской конференции Black Hat.
Здесь, правда, тоже идут схожие процессы: программа подстраивается под интересы генеральных спонсоров с толстенными кошельками, вроде корпораций Cisco, Microsoft и Adobe, а некогда единый форум дробится на региональные подсекции: исходная Black Hat, Black Hat Federal для правительственных структур, Black Hat Еurope для Старого Света и Black Hat Tokyo для азиатских стран. Но коль скоро все эти конференции остаются деловыми, избегая помпезной мишуры, нельзя сказать, что такие новшества сделали доклады хуже. Во всяком случае, на прошедшей в конце марта конференции Black Hat в Амстердаме был целый букет интересных выступлений, вполне заслуживающих того, чтобы рассказать о них.
Один из самых ярких докладов - о вскрытии схем крипточипов с помощью разрушающих атак - сделал американский хакер Кристофер Тарновски (Christopher Tarnovsky), в 1990−х годах широко известный в сетевом компьютерном андеграунде под никами Big Gun и Von. В начале 2000−х Тарновски чудом не угодил за решетку, участвуя в нелегальном вскрытии карточек доступа для систем платного спутникового ТВ. Однако был "отмазан" адвокатами одной из ведущих корпораций этой индустрии, поскольку был ее тайным сотрудником. А также, как вскоре выяснилось, параллельно работал и на главного конкурента этой корпорации. То есть знал о тайнах бизнеса слишком много и легко мог сболтнуть на суде лишнего. Теперь же у Тарновски своя небольшая фирма Flylogic Engineering, где он продолжает заниматься тем же, что давно любит и умеет делать, - аккуратно вскрывает схемы чипов, под мощным микроскопом удаляя один слой за другим с помощью кислоты и лазера. Всякий раз демонстрируя заказчику, что декларируемая изготовителями безопасность микросхем и их реальная стойкость к атакам - две большие разницы.
Группа исследователей из цюрихского ETH, Федерального технологического института, представила разработанную ими модель для оценки безопасности операционных систем. По новой методике учитывается не только количество и критичность дыр в ОС, но определяется важный параметр, условно именуемый "показатель патчей нулевого дня". Этот параметр свидетельствует о способности разработчика выпускать заплатку на брешь в тот же день, когда об уязвимости становитсяизвестно. Чтобы оценки были максимально объективными, исследователи собирали данные из множества независимых источников, включая Secunia, Milw0rm, OSVDB (Open Source Vulnerability Database) и NVD (National Vulnerability Database).
Один из самых любопытных результатов, полученных с помощью новой метрики "патч 0−дня", - это зримая демонстрация того, сколь ощутимо корпорация Apple отстает ныне от Microsoft в деле латания дыр. Более того, аналитические данные и графики свидетельствуют, что Apple продолжает двигаться не в том направлении: уязвимости множатся, время латания возрастает и т. д. Нельзя сказать, что для экспертов столь унылый вывод стал открытием - о неблагополучной ситуации с защитой программ Apple много говорят по меньшей мере с начала 2007 года. Теперь же картину подкрепили убедительной метрикой. Как прокомментировал ситуацию один из аналитиков, похоже, что в Apple по сию пору относятся к сообщению о каждой новой уязвимости как к потенциальной пиар−катастрофе, а не как к возможности усилить позиции в деле защиты своих клиентов. Ярчайшая тому иллюстрация - практически полное отсутствие конструктивного диалога между независимыми исследователями и подразделением инфобезопасности Apple.
В ту же самую струю попало и объявление, сделанное на амстердамской Black Hat, - о создании неформальной группы GNU Citizen, которая объединила блоггеров−хакеров для эффективного противостояния "черному пиару" корпораций. В компьютерном и софтверном бизнесе термин "черный пиар" с некоторых пор используется для обозначения энергичных усилий, которые предпринимают специальные "команды по управлению кризисом", дабы скрыть любые сведения об уязвимостях, выявляемых в программах. Уже известно, что на подобные вещи тратится уйма денег - лишь для того, чтобы публика ничего не узнала о дырах, зияющих в популярном ПО.
По словам Петко Петкова, известного болгарского специалиста и активиста GNU Citizen, члены группы придерживаются политики ответственного раскрытия. Прежде всего они связываются с компаниями, в чьих программах выявлены проблемы, и дают им время на латание дыры до того, как уязвимость будет обнародована. Однако, говорит Петков, если компании получают предупреждение отдельных исследователей, в большинстве случаевони ничего не делают для исправления ситуации, считая это слишком дорогими хлопотами. Вместо этого нанимаются специалисты по "черному пиару", которые всячески компрометируют репутацию исследователей и принижают значимость их работы. Какова же реальная ситуация с безопасностью, в подобном контексте никого словно и не интересует. Объединившись в GNU Citizen, "этичные хакеры" намерены вернуть обсуждение проблем защиты информации в более конструктивное русло.
- Из журнала "Компьютерра"