Пару слов о безопасности

"Безопасность - состояние защищенности жизненно-важных интересов личности, общества, организации от потенциально и реально существующих угроз, или отсутствие таких угроз".

Википедия

Сегодня неизвестный злоумышленник проник в компьютерную сеть корпорации "Рога и Копыта". По сообщениям представителей компании, ущерб, нанесенный хакером, равняется двум миллионам космокредитов. Правоохранительные органы начали расследование происшествия. По предварительным данным, виной всему беспечность администратора и операционная система "Hinged Window-Pane for Ventilation" от компании Microdumb.

Примерно такими заголовками пестрит компьютерная и околокомпьютерная пресса последние года два. Хакеры, всемогущие повелители Интернета, не оставляют бедного пользователя в покое ни на минуту, и единственный способ не пасть жертвой очередной атаки - это отключить Интернет. И никто даже не задумывается, что под очередной "сенсационной" статьей находится реклама какой-либо антивирусной лаборатории. Старожилы должны помнить "проблему 2000 года". Где только не муссировались слухи о скором закате компьютерной индустрии: в прессе, по телевидению, в Интернете. Предсказанный конец так и не наступил, зато акулы пера тут же выдумали новую проблему, дескать, конец Мировой Паутины уже как никогда близок, а специалисты даже и не думают предупредить об этом бедных пользователей.

Из пустоты ничего не возникает, как учат нас трактаты по физике. И беда заключается в том, что такие слухи распространяют не только журналисты, которые за деньги напишут вам все, что вашей душе угодно, но и представители вполне респектабельных антивирусных компаний. Надо же им как-то продвигать в народ свои товары, а маркетинг, знаете ли, тоже разный бывает. Вот и пугают пользователей мнимыми угрозами.

Я не стану спорить, что компьютерные вирусы за последние пять лет стали распространяться с ужасающей скоростью и уже не поддаются никакому учету. Новые штаммы очередной малвари появляются чуть ли не ежеминутно, причем изменения, вносимые в тело вируса, минимальны, однако крупные компании все чаще стали рапортовать о миллионных убытках. И виной тому даже не реверсеры - любой человек просто физически не сможет дизассемблировать и исследовать зловредный код за считанные секунды. Оттого и появляются ложные срабатывания антивируса, когда, казалось бы, безобидный Notepad++, к примеру, является ужаснейшим вирусом Win32 Neshtaa, и было бы неплохо его удалить, дабы не допустить потери конфиденциальной информации. Конечно, глобальные эпидемии иногда случаются (все помнят Conficker?), но.... Любой бизнес основан на риске, а идеально защищенных систем не бывает в природе, и все, что написал человек, может быть взломано им же.

 

Если обратить внимание на статистику, любезно предоставляемую нам антивирусными компаниями, то в глубине души возникают совершенно противоречивые чувства. Кто-то заверяет, что мы в полной безопасности, и массовых эпидемий уже не случится (что лично меня немного удивляет), а другие, напротив, рапортуют о разработанном в недрах компании proof-of-concept exploit'е, способного пройти любые защитные механизмы в считанные секунды. Хакеров останавливают лишь вездесущие спецслужбы, активно борющиеся с киберпреступлениями. Зная уровень подготовки сегодняшних стражей порядка (кроме меня, никто не удивился истории о тринадцатилетнем оршанском хакере?), можно сделать вывод, что злоумышленников останавливает не страх перед наказанием, а отсутствие смекалки для изобретения новых способов обхода защитных механизмов.

За все время существования человеческой цивилизации было рождено немало мифов. Это сейчас, в двадцать первом веке, мы с уверенностью можем сказать, что чернокнижники и ведьмы - сказки святой инквизиции, зато в пятнадцатом веке люди так не считали. На мой взгляд, то же самое творится и сейчас, а именно - массовое помрачение общественного сознания в страхе перед неизвестным. Мало кто из пользователей сможет объяснить, как работают компьютерные вирусы, еще меньшее количество народу их дизассемблировало. Бывалый реверсер скажет вам, что написание долгоживущего вируса - задача, справиться с которой может далеко не каждый вирусописатель. Зачастую все ограничивается тем, что вирус попадает в базу какой-либо компании, и специально обученные люди изучают алгоритмы вторжения, которыми пользовался вирус.

Так что же мешает крупным компаниям ввести в эксплуатацию свободное программное обеспечение, к примеру, операционные системы на основе xBSD или Linux? Ответ прост и лаконичен: "Эти системы не предназначены для настольных решений". Вранье! Причем наглое. Многие западные компании успешно используют компьютеры Mac, которая является той же xBSD, только с красивым "лицом". Тем более, что все популярные офисные решения давно портированы под Mac: будь то Microsoft Office или Adobe Photoshop. Но даже на Западе многие руководители опасаются заменять Windows на что-то более безопасное, так как поддержка компьютеров с *nix на борту существенно отличается от тех же самых компьютеров под управлением Windows. В защиту хочется сказать лишь одно: все дело в привычке. Человек, десять лет проработавший в операционных системах от всем известной корпорации, просто физически не сможет привыкнуть к "новым" интерфейсам вроде GNOME или KDE. С этим уже ничего не поделаешь.

Основное достоинство UNIX в том, что системных вызовов там - около сотни, реально используются около сорока из них. Для сравнения, Windows содержит что-то около 100 тыс. API-функций, вызываемых ядром из тысяч мест, причем с сотней разношерстных параметров. Программист, пусть даже очень опытный, вынужден таскать с собой кучу учебников, чтобы хоть как-то ориентироваться в хаосе операционной системы. А если бы парни из корпорации Microsoft внимательно слушали лекции в своих университетах, то проблем в их ОС было бы гораздо меньше. Именно в университете на пальцах разъясняют принцип Keep It Simple Stupid (оставь это простым, болван), если следовать которому, большинство ошибок проектирования как рукой снимает. Если вы все еще не уверены, то ознакомьтесь с операционной системой OpenBSD.

Linux за несколько последних лет уже не вызывает ужаса в глазах обывателей. Нацепив приятный интерфейс (привет, KDE!), обзавелся графическими мастерами, в общем, вплотную приблизился к Windows. И именно это меня и пугает: попытки научить систему тому, что должен делать администратор, уже были, и наиболее удачная из них - Windows 7, где ОС лучше знает, что и как должно работать. Корпорация Microsoft упорно настаивает на том, что свобода и безопасность - взаимно исключающие понятия. Автоматика, конечно, вещь хорошая, но только не тогда, когда речь заходит о безопасности. Искусственный интеллект еще далек от совершенства, и все его "выдумки", сверхсовременные эвристические механизмы обходятся буквально за пару часов работы, и остановить малварь, написанную гуру вирусописательства, они не в состоянии. То же можно сказать и о современных межсетевых экранах и антивирусах. Моя подруга, к примеру, вряд ли задумается над сообщением брандмауэра, которое рассказывает ей об изменении контрольной суммы исполняемого файла. Любой неискушенный пользователь, не задумываясь, нажмет кнопку "Yes" и продолжит работу. Так, может, создателям защитного программного обеспечения стоит задуматься о внедрении некой автоматики в свои продукты? Опытный пользователь будет получать полный отчет о событиях, фиксируемых межсетевым экраном, а новичок получит режим "автопилот", в котором программа сама решит, стоит ли расценивать то или иное действие как угрозу безопасности. Но это - идеал, которого не достичь, и среднестатистический пользователь не должен впадать в ступор, слыша слова "протокол" или "порт". Но, как я могу судить, квалификация преподавателей информатики, что в школах, что в высших учебных заведениях, оставляет желать лучшего, и единственное, на что способны такие "учителя", - рассказать, как же правильно строить таблицы в Excel.

Мудрость, проверенная годами: "как не ограничивай права пользователя в Windows, все равно он, гад, может навредить". Было бы желание, как говорится. Тем более, даже в бизнес-секторе существуют тысячи (если не миллионы) программ, элементарно не работающие в том случае, если не дать им администраторских прав. И вина в этом отнюдь не разработчика, а самой корпорации Microsoft, которая запрещает "левым" программам устанавливать свои драйверы в систему из-под непривилегированного пользователя. Как итог - администратор устанавливает десять/сто/тысячу (нужное подчеркнуть) сторонних модулей, один из которых, по закону подлости, непременно окажется уязвим.

У читателя, должно быть, сложилось впечатление, что я всячески пытаюсь отговорить его от использования продуктов корпорации Microsoft и перейти на открытое программное обеспечение. Уверяю вас, это не так. По моему скромному мнению, проприетарное ПО ничуть не хуже открытого, и все проблемы с безопасностью лежат аккурат между пользователем и клавиатурой. Любая операционная система состоит из миллионов строк кода, некоторые из них не изменяются десятилетиями (в Windows Server 2008 R2 есть ряд компонентов, написанных еще в 88-90 годах прошлого века), и переписывание кода "с нуля" применяется лишь в редких случаях. Зачастую на код накладываются все новые и новые слои абстракции, в итоге образующие весьма шаткое сооружение. Исключив всего один компонент, программист рискует "поломать" целую программу, что весьма негативно отразится и на его, программиста, зарплате. Вот и получается, что некоторые фрагменты кода, спроектированные еще в восьмидесятых, сейчас сталкиваются с условиями, работать в которых им весьма проблематично.

А если в мире остались евангелисты, свято верующие в то, что горячо любимый ими Linux был написан с нуля, то... счастливые они люди! Линус Торвальдс написал свою операционную систему, основываясь на учебной ОС Minix, и, впоследствии, не раз "слизывал" куски кода у xBSD. В этом и состоит фундаментальная проблема программирования: постоянное совершенствование старого кода уменьшает количество наслоений и, соответственно, количество ошибок. Взять, к примеру, две системы из семейства xBSD: OpenBSD и FreeBSD. Первая десятилетием отшлифовывала свой код и добилась потрясающих результатов: всего две критические уязвимости за все время существования, а вторая же... В общем, дела там обстоят многим хуже. А про операционные системы семейства Windows даже и говорить не хочется - достаточно взглянуть, насколько потяжелел дистрибутив Windows 7, по сравнению с Windows XP. Ну а что касается Linux - в своем стремлении переманить пользователя некоторые создатели дистрибутивов постепенно лишают нас всякой возможности по самостоятельной настройке системы, заменяя командную строку графическим интерфейсом. Для профессионалов такие "телодвижения" слишком уж, простите, противны, а для новичков Linux все еще не достиг того уровня, который позволит пользователю "безболезненно" мигрировать с Windows. И ведь говорят, что 2010 год - год Линукса на десктопах. А я улыбаюсь, понимая, что где-то я это уже слышал. В конечном итоге, на мой взгляд, Linux в своем стремлении объять необъятное разрастется в чудовище похуже, чем то, что сейчас предлагает нам Microsoft. Либо возвратится к истокам, смирившись с ролью операционной системы для энтузиастов и ударников пролетариата.

Кристиан КАРМАК

Версия для печатиВерсия для печати

Номер: 

12 за 2010 год

Рубрика: 

Размышлизмы
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Страницы

Аватар пользователя mike
Пустое.
Аватар пользователя Инкогнито
многа букафф. мало толку...
Аватар пользователя Частокол
Диагноз: острая графомания на околокомпьютерные темы.
Аватар пользователя Alex
ААААА Вирусы замучили!Ну вот- подумал я, наконец то узнаю почему мне стоит перейти на новую ось, увидев данную статью в номере, наивно предполагая подробный сравнительный анализ безопасности той и другой оси.И что же в итоге? С большой натяжкой к теме можно отнести ремарку о системных вызовах,мол в unix системах их проще контролировать.

И всё собственно "Купляйте беларуское, потому что оно лучше". Предположим мы проснулись завтра в мире где вынь занимает места чуть больше 2 процентов,а линь совсем наоборот, взоры всех вирусописателей обращены на неё.В чём коренная разница в распространении вирусов и там и там?Да ни в чём.Те же дыры в системе и те же шаловливые ручки юзверей запускающих всё что ни поподя.И меня абсолютно не интересует как работает вирус, меня интересует чтобы он ко мне не попал.Майкрософт утверждает,что понятия свобода и безопасность несовместимы и правильно утверждает. Только беспорядочные связи приводят к известным результатам.Автору следовало указать,что именно строгое разграничение прав доступа и жёсткий контроль готовых пакетов в репозиториях,а также исходных кодов со стороны открытого общества даёт такое приемущество в безопасности над проприетарным софтом.А уж зачем сюда приплетён многострадальный GUI и прочие стенания программиста мне вообще не понятно.

За сим разрешите откланется.Ваш Алекс :)

Аватар пользователя Логик
>Только беспорядочные связи приводят к известным результатам.

Хм. Вас привозят в больницу и делают переливание крови, заражая вас ВИЧ. (не дай Бог, конечно) - в чем ВЫ будете виноваты?

Аватар пользователя mike
>В чём коренная разница в распространении вирусов и там и там?Да ни в чём.

Разница всё же есть. В Лине проги запускаются испросясь у рута, а заразить разносчика можно только знаючи, что это он и есть, но как? Расширений-то нет! В ядре все модули подписаны, вмешательства блокируются. В итоге для Линя надо писать выря, обладающего чуть ли не ИИ, потратив дофига труда, с крайне малой вероятностью успеха у тех, кто не тащит в комп что попало. Кстати, грядёт эра ОС и для "в рот берущих"; в таких ОС невозможно исказить ни байта без снятия мехзащиты. Простейшая реализация: ОС на флэшке с защитой от записи. Гыгы.

Аватар пользователя Логик
mike (old student) > в таких ОС невозможно исказить ни байта без снятия мехзащиты. Простейшая реализация: ОС на флэшке с защитой от записи. Гыгы.

Хм, а если вирус УЖЕ в BIOS прописался?

Аватар пользователя mike
>а если вирус УЖЕ в BIOS прописался?

А ты его тапком, тапком!

Аватар пользователя Логик
>А ты его тапком, тапком!

Не, тапком ТУТ не поможешь. имхо

Аватар пользователя Кристиан Кармак
Доброго Вам дня, Alex!

Итак, начну, пожалуй, по - порядку.

Первое, на что я хотел бы обратить Ваше внимание, это тезис "Предположим мы проснулись завтра в мире где вынь занимает места чуть больше 2 процентов,а линь совсем наоборот...". Я не ставил самоцелью показать, что Open Source системы - это хорошо, и взломать\захачить\заразить их нереально. Я полностью соглашусь с Вами, но с одним маленьким дополнением: проприетарное ПО ничуть не хуже открытого, с той лишь разницей, что поддержка его стоит дешевле, да и функциональность большинства приложений оставляет далеко позади своих открытых собратьев. Я прекрасно помню, как Бородатый громогласно обьявлял, что мир "загнивающего капитализма", мир проприетарного ПО, должен исчезнуть с лица земли, и все ПО станет свободным, и воцарится мир во всем мире. Но, простите, современная OpenSource программа, расчитанная на использование среднестатистическими домохозяевами вроде меня, не предоставляет мне все те возможности, которые я получаю в программе, за которую я отдал свои кровные. Мне НЕУДОБНО по десять раз переключаться между работающими программами, чтоб получить в конечном итоге то, что я мог сделать буквально за минуту, отдав несчастные 20 долларов. Вместо того, чтоб обьединиться и написать хорошую OS программу, разработчики клепают билды очередной недоделки, громогласно называя это чудо заменой проприетарщине от Microsoft.

Еще один аспект (причем весьма важный): в корпоративной среде лицензия значит гораздо больше, чем открытость. Чтоб было что своим лоерам показывать.

Mike, "В итоге для Линя надо писать выря, обладающего чуть ли не ИИ, потратив дофига труда, с крайне малой вероятностью успеха у тех, кто не тащит в комп что попало."

На данный момент практически все вирусы под *nix носят чисто лабораторный характер, и вероятность написания боевого эксплойта черезвычано мала. Хоть технологии локального и удаленного повышения привилегий давно уже вышли за рамки proof-of-concept, ввиду непривлекательности сегмента рынка они редко используются.

В любом случае, благодарю Вас за оставленные отзывы!

UPD: но вот с синдромом графоманства я категорически не согласен. Скорее, это личная точка зрения автора, опубликованная в рубрике "размышлизмы". Точка зрения редакции может не совпадать с моей. А может и совпадать. (улыбка)

Страницы