Автор: Киви Берд
Самым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил выражение «электронный Перл-Харбор». Предупреждая законодателей о постоянно растущих угрозах со стороны кибертеррористов, Хамре дал красочные предсказания новых атак, которые «будут направлены не против военных кораблей, стоящих в гавани; теперь они будут направлены против инфраструктуры».
Люди, как известно, легко западают на броские и запоминающиеся образы, а потому эффектная и доходчивая формула «электронный (или цифровой) ПерлХарбор» быстро стала как бы самоочевидным аргументом едва ли не во всех дискуссиях и исследованиях, касающихся защиты критических инфраструктур. Тем более что ныне не подлежит сомнению ключевая роль информационных технологий, компьютерного оборудования и программного обеспечения во всех областях, которые обычно принято относить к критично важным для общества и государства инфраструктурам: энергетике, водоснабжению, транспорту, коммуникациям, финансово-банковским сетям и т. д.
Реальность такова, что ныне практически все эти системы и сети оказываются весьма сложным и замысловатым образом взаимопереплетены и взаимозависимы, хотя и управляются совершенно разными структурами. С точки зрения информационной безопасности это означает, что насущно необходима выработка единой стратегии защиты для критической инфраструктуры в целом. Однако взгляды на то, как должна выглядеть эта стратегия, сильно различаются.
Самая распространенная точка зрения, явно доминирующая в государственных, промышленных и бизнес-кругах, сводится к тому, что информационная безопасность — это комплекс технических мероприятий, планомерно улучшая которые можно повышать степень защиты. Иначе говоря, создавая лучшие модели контроля доступа, совершенствуя криптографические протоколы, оттачивая методы выявления проникновений и защиты от вредоносных кодов, разрабатывая более и более мощные инструменты для оценки систем — можно и должно решить очевидные проблемы с безопасностью в сегодняшних компьютерных сетях вообще и в критических инфраструктурах в частности.
Однако есть и в корне иная точка зрения, которой придерживаются главным образом независимые исследователипрофессионалы. Среди них достаточно известных и весьма авторитетных специалистов с опытом работы в большой индустрии и государственных службах, благодаря чему и эту позицию иногда удается доводить до сведения властей и средств массовой информации. Но в целом альтернативный взгляд на инфобезопасность пока что известен общественности очень плохо. А потому стоит рассказать именно о нем.
В сентябре 2003 года под эгидой CCIA, всеамериканской Ассоциации компьютерной и коммуникационной индустрии, был опубликован 24-страничный аналитический документ под названием «КиберНебезопасность — цена монополии».
В этой работе семь известных экспертов по защите информации (Дэн Гир, Питер Гутман, Чарльз Пфлигер, Брюс Шнайер и др.) дали развернутое обоснование идее,согласно которой абсолютное доминирование в компьютерах программного обеспечения Microsoft (92—95%) привело к образованию, по сути дела, «софтверной монокультуры», что является очевидной угрозой для национальной безопасности.
Термин «монокультура» обычно применяется биологами для описания систем с очень низким уровнем генетического разнообразия и, как естественное следствие, с большой степенью риска подверженных опасностям вымирания. В частности, монокультура стала бичом сельского хозяйства, где ради максимальных урожаев с единицы площади нередко засаживают все одной, самой плодовитой и выгодной культурой, а появление неизвестного прежде паразита-вредителя превращается во всеобщую катастрофу. Как это было, например, со знаменитым картофельным голодом в Ирландии XIX века, вызванным гибелью урожаев из-за грибкового паразита фитофторы, или с массовым уничтожением виноградников в Европе из-за нашествия тли филлоксеры, вызвавшей чуть ли не разруху в индустрии виноделия.
Дэн Гир, технический директор известной «хакерской» фирмы @stake и главный соавтор отчета «КиберНебезопасность», в свое время защитил в Гарварде диссертацию по биостатистике. Именно он и углядел характерные признаки монокультуры в ситуации, сложившейся в компьютерносетевой сфере из-за тотально утвердившейся на рабочих станциях и серверах операционной системы Microsoft Windows.
К тому времени по Интернету уже прокатились несколько массовых эпидемий, вызванных вирусами-червями вроде Slammer и Blaster, а внушительные масштабы заражения были в первую очередь обусловлены редкостным единообразием программного обеспечения. Как в биологии, так и в компьютерных сетях представляется неоспоримым, что в условиях большего «генетического разнообразия» систем реакция на любые вирусные атаки будет более гибкой и жизнестойкой.
Нет никакого сомнения, что это прекрасно понимают и в Microsoft. Однако для бизнеса корпорации модель монокультуры обеспечивает наибольшую прибыль, а потому и в текущих разработках ПО делается все возможное для сохранения и закрепления статус-кво. Авторы отчета, доказывая, что всякая инфраструктура может считаться безопасной лишь при условии, когда на одну «культуру» приходится не более 50% общей массы, и одновременно понимая, что по собственной воле Microsoft вряд ли когда-нибудь озаботится всеобщим благом, решили обратиться с призывом к органам власти. В сложившихся условиях, уверены авторы, государство и общество должны настоять, чтобы корпорация Microsoft сделала по крайней мере три шага к созданию более разнообразного и безопасного киберпространства:
1) Открыто опубликовала спецификации интерфейсов ко всем основным функциональным компонентам своего ПО, как MS Windows, так и MS Office.
2) Поощряла разработку альтернативных источников функциональности платформы — взяв за образец крайне успешную технологию «plug and play» для аппаратных компонентов. 3) Совместно с широким консорциумом поставщиков «железа» и ПО разрабатывала открытые спецификации и интерфейсы на будущее, подобно тому, как в интернет-сообществе создаются новые протоколы для Сети…
Каковы же основные итоги этой интересной публикации? Лично для главного автора Дэна Гира все закончилось немедленным — в ту же неделю — увольнением с высокого поста в @stake, поскольку головным бизнес-партнером фирмы была корпорация Microsoft. Государственные структуры США в открытую не прореагировали на «КиберНебезопасность» практически никак. Но втихую Национальный научный фонд вскоре выделил многомиллионный грант исследовательскому центру CyLab при Университете Карнеги-Меллона — на изучение проблем инфобезопасности в условиях софтверной монокультуры. Грубо говоря, перед CyLab поставили задачу по поиску своего рода презервативов для «безопасного секса» между компьютерами в условиях общей для всех программно-операционной платформы. Судя по всему, сколь-нибудь заметных успехов на этом поприще достичь пока не удалось.
Другое многообещающее направление, активно разрабатываемое ныне в качестве более эффективной альтернативы традиционным — и, похоже, тупиковым — взглядам на защиту сетей, тесно связано с развитием экономических моделей и стимулов. То, что традиционные воззрения на обеспечение инфобезопасности не ведут никуда, кроме тупика, свидетельствуют многие факты, не подлежащие сомнению.
В частности, всякое усложнение программы (количество строк кода) напрямую связано с возрастанием рисков, поскольку сложность системы — главный враг ее безопасности. Ожидать упрощения программ в обозримом будущем абсолютно нереалистично. А значит, будут постоянно плодиться опасные и трудные для выявления баги-уязвимости, в связи с чем неиз бежны частые выпуски патчей-заплаток, которые тянут за собой новые баги, а значит — новые заплатки к уже выпущенным патчам. Причем конца этой нудной и всем опостылевшей тягомотине не видно.
С другой стороны, в экономике давно и хорошо известно, что в тех случаях, когда сторона, отвечающая за безопасность системы, непосредственно не страдает от того, что защита не срабатывает, практи— чески наверняка можно ожидать появле-ния серьезных проблем. Очень ярко и наглядно это просматривается на примере индустриальных предприятий, загрязняющих окружающую среду. Никакие протесты, уговоры и абстрактные угрозы не имеют на них абсолютно никакого воздействия. Но зато когда в государстве принимаются законы, наказывающие конкретных отравителей экологии очень серьезными штрафами и уголовными преследованиями виновных, тогда появляются реальные стимулы. И тут уже защита природы начинает волновать не только озабоченную нечистотами общественность, но и гадящую под всех промышленность.
Эту же картину без особого труда можно спроецировать и на мир инфотехнологий, поскольку инфобезопасность тоже является очень важным для общества потребляемым ресурсом, пусть и довольно своеобразным.
Но с тем принципиальным отличием, что здесь поставщики систем безопасности (программных и аппаратных средств, сетевых сервисов) по сию пору не несут практически никакой материальной или уголовной ответственности за допущенные в их продуктах баги и «дыры». На эту тему в последние годы много пишут и выступают уже упоминавшийся Брюс Шнайер и кембриджский профессор Росс Андерсон. Как подчеркивают эти и другие авторы, доходящая до абсурда ситуация с бесконечным латанием постоянно плодящихся дыр неизбежно будет продолжаться до тех пор, пока у компаний не появятся ощутимые стимулы, повышающие их ответственность за безопасность выпускаемой продукции и предоставляемых сервисов.
Говоря в целом о «науке инфобезопасности», нельзя не отметить, что науки как таковой здесь пока не существует. В отличие от, скажем, криптографии — наиболее древнего и потому глубоко исследованного подраздела защиты информации. У криптографов, в частности, имеются вполне строгие математические модели, позволяющие строить алгоритмы любого нужного уровня стойкости и доказуемо противостоящие всем известным атакам. Для защиты компьютерных сетей и систем в целом, к сожалению, ничего подобного не существует. Однако работы в данном направлении ведутся весьма активно.
Топология сложных сетей — это пока лишь нарождающийся, но весьма перспективный инструмент для анализа информационной безопасности. Все компьютерные сети — от глобального Интернета до децентрализованных пиринговых сетей — являются по своим свойствам сложными, однако возникают из достаточно элементарных взаимодействий множества единиц на основании простых базовых правил. Эта самонарождающаяся сложность, вкупе с сильной неоднородностью элементов, имеет много общего с социальными сетями и даже с метаболическими цепями в живых организмах. Также в последнее время стало заметным направление сетевого анализа, развивающееся на границе между социологией и физикой твердого тела. Исследователи берут идеи из всех подходящих дисциплин, вроде теории графов, к примеру, и на их основе создают инструменты для моделирования и изучения сложных сетей. Отмечено, что взаимодействие науки о сетях с теорией инфобезопасности предоставляет весьма интересный мост к эволюционной теории игр — особого ответвления экономики, ставшего весьма популярным при изучении поведения людей и животных.
Топология сети может сильно влиять на динамику столкновений. Например, атакующая сторона часто пытается разомкнуть сеть или увеличить ее диаметр, разрушая узлы или ребра, в то время как защитник противодействует этому с помощью разных механизмов, обеспечивающих сети гибкость. На основе этих идей удается весьма интересно моделировать и действия полиции по обезглавливанию террористической организации, и, скажем, деятельность тоталитарного режима по организации наблюдения за политическими активистами. Научно-исследовательские структуры, работающие для полиции, в последнее время с большим интересом занимаются сетевой наукой, пытаясь установить, насколько она может быть полезна на практике для анализа тайных операций — организуемых как врагами властей, так и контртеррористическими силами.
Насколько эффективны окажутся данные идеи в борьбе с такими сетями, как «Аль-Каида», покажет лишь время. Однако не подлежит сомнению, что нарабатываемый новой наукой инструментарий оказывается весьма полезен для анализа безопасности в инфраструктуре компьютерных сетей.
И здесь же уместно отметить еще один «теоретический» момент, очень важный в практических приложениях. По мере того как системы становятся все более сложными и взаимопереплетенными, у владельцев таких систем отчетливо растет искушение попытаться переложить проблемы надежности на плечи других. В связи с этим ныне учеными начат активный поиск таких протоколов и интерфейсов, которые были бы «стратегически непробиваемыми». Иначе говоря, в саму их конструкцию должны быть заложены принципы, уравновешивающие стимулы всех главных участников так, чтобы никто не мог получить преимуществ путем жульничества. Потому что исключение мошенничества и любого другого вредного для остальных поведения уже на начальном этапе конструирования сетевой инфраструктуры — это намного более привлекательный подход, нежели изнуряющие и малоэффективные попытки латаний-исправлений впоследствии.