Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я спросил Чесвика, что его больше всего беспокоит в сфере ИБ: «Старый материал, который продолжает работать. Почти ничего нового. Может быть, Stuxnet, но прежние задумки все равно остаются в строю. Как минимум с 1979 года нам известно, что пароли бесполезны, так почему мы все еще их используем? В настоящее время я работаю над некоторыми новыми идеями пароля и аутентификации. Или взять недавние DDoS-атаки DYN (http://dyn.com/blog/dyn-analysis-summary-offriday-october-21-attack/). Это случилось из-за всех тех корневых паролей, заготовленных в прошивке устройств IoT. Я бы поставил студенту неудовлетворительную оценку за ввод жестко закодированных паролей».

Тем не менее Чесвик считает, что информационная безопасность значительно улучшится. Он сказал: «Я много выступаю по всему миру, и одна из моих речей называется “Интернет-безопасность: я думаю, что мы победим” (https://cacr.iu.edu/events/2016/bill-cheswickcomp-sec-we-can-win.php). Мы находимся на стадии модели T информационной безопасности. Сейчас мы не пытаемся это исправить, но будем работать над этим. Мы наблюдаем рыночный провал, но рынок с ним справится. В будущем у нас появится значительно лучшая интернет-безопасность. Многие не верят, когда я говорю об этом, но поверят позже. Другие отрасли промышленности имели те же проблемы на раннем этапе, но росли и улучшались. Интернет сделает то же самое».

Я спросил его, что будет одним из основных улучшений. Он рассказал: «Я удивлен, что нам все еще разрешено запускать произвольное программное обеспечение на компьютерах. Даже с антивирусной проверкой это выглядит как запуск проверки на бродяг в вашей ванной комнате. Операционные системы должны позволять выполнять только проверенный код, и мы к этому близки. ОС уже начинают лидировать в этом направлении».

Я спросил, почему его не беспокоит, что улучшение информационной безопасности занимает так много времени. «Есть много проблем, но один из главных вопросов – это поддержка. Это можно сравнить с моделью города. У всех городов есть проблемы, связанные с наследием прошлого развития, которые люди просто не могут игнорировать».

Я спросил Чесвика, о чем он думает в последнее время. Он сказал: «Одна из самых больших проблем заключается в том, как вы измеряете безопасность в ПО. Как выглядит точная система показателей? Один из простых примеров – измерение общего числа сетевых служб, каждая из которых – потенциальный вектор атаки, и их сокращение означает уменьшение риска. Но это слишком упрощенно. Другой несложной мерой могло бы стать измерение количества “демонов”, работающих с setuid root [это означает, что программа намеренно продвигается для запуска в качестве наиболее привилегированного контекста учетной записи безопасности]. Опять же, меньше, конечно, было бы лучше. Но и это слишком упрощенно. Еще один способ измерить безопасность, скажем, операционной системы или программного обеспечения – это стоимость эксплойта нулевого дня, который можно купить на открытом рынке. Журнал Forbes написал об этом статью в 2012 году (http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-daysan-price-list-for-hackers-secret-software-exploits/#43f3035e6033). Стоимость эксплойта будет фактором того, насколько трудно взломать программу или операционную систему и насколько она популярна для взлома. Например, полный эксплойт ОС стоит 500 000 долларов, но взлом часто скомпрометированной программы составляет всего 50 000 долларов. Большая цена указывает, что вендор лучше справляется с безопасностью.

Каждый, как я уже говорил, хочет измерить уровень безопасности. Людям нужно число. Они хотят показать, что в прошлом году их уровень составлял 27 условных единиц, а в этом повысился до 63, и безопасность явно улучшилась. Более реалистичное измерение – определение всех возможных измерений и присвоение им веса, а затем объединение их в большую метрику. Этого хочет любой управляющий. Я много думал об этом в последнее время. В наши дни становится все труднее и труднее проникать в новое ПО. Даже жалобы ФБР на то, что они не могут что-то взломать, – хороший знак. Безопасность становится все крепче и крепче».

Более подробную информацию об Уильяме Чесвике вы можете узнать по ссылкам:

• веб-сайт Уильяма Чесвика: http://www.cheswick.com/ches/index.html;

• Firewalls and Internet Security: Repelling the Wily Hacker (в соавторстве со Стивеном Белловином): https://www.amazon.com/Firewalls-Internet-Security-Repelling-Hacker/dp/020163466X;