Поймите сразу — эта книга не похожа на большинство других купленных вами книг по вопросам безопасности. В ней вы не найдете мрачных подробностей о слабых местах в серверах и списки IP-портов, используемых для проникновения в них. Нет в ней также и листингов исходных кодов вирусных программ с комментариями. Автор не включил в книгу каталог скриптов для взлома и лист подписки на веб-сайты, откуда вы могли бы их «скачать». Здесь нет трагических (и повторяющихся) рассказов от первого лица о том, как легко одурачить людей, раскрывая их пароли. Так что если вы надеетесь, что все это есть в книге, то лучше отложить ее в сторону.
Но… я предупреждаю вас, что вы отказываетесь от книги, в которой обсуждаются реальные проблемы реальной безопасности и даются основательные и запоминающиеся уроки — некоторые из них я настоятельно рекомендую усвоить любому, кто работает с компьютерами.
Только подумайте — примерно в течение года после отправки этой книги в печать объем электронной коммерции в Интернете перевалил отметку в один триллион долларов в год. Коммерческого использования сетей практически не было до 1993 года, поэтому такие темпы роста являются невероятными. Но даже глядя на эти цифры, мы все равно не сможем себе представить, что это только начало, — ведь «подключена» сейчас только частичка населения планеты, и только частичка делового мира начала принимать участие в онлайновой коммерции по схеме «бизнес-бизнес».[1]
Многие слышали о законе (Гордона) Мура, впервые сформулированном в 1965 году и предсказывавшем, что производительность процессоров будет удваиваться каждые 18 месяцев. Действительность подтвердила это предположение, и ожидается, что оно будет продолжать действовать, по меньшей мере, еще одно десятилетие. Подобный рост наблюдался и в использовании вторичной памяти, вследствие чего емкость онлайновых систем за последние несколько лет удваивалась приблизительно каждые 14 месяцев. Также был виден впечатляющий рост пропускной способности линий связи, вызванный непрерывным распространением оптоволоконных беспроводных технологий. Стоимость всех этих товаров широкого потребления (а они действительно таковыми стали) упала после того, как увеличился их общий объем.
Являясь как причиной, так и следствием роста инфраструктуры информационных технологий, критически важная информация размещается в сетях во все возрастающих объемах. Банки, брокерские фирмы, аудиторские и финансовые компании всех видов применяют для ведения своего бизнеса компьютеры и сети. Федеральное правительство и администрация штатов не могут работать без компьютеров. Критически важные инфраструктуры, включая энергетику и транспорт, зависят от датчиков и исполнительных механизмов, подключенных по сетевой схеме. Правоохранительные органы и вооруженные силы опираются на информационные технологии при хранении своей информации и технической поддержке выполнения своих задач. Документация учреждений здравоохранения, медицинская справочная система, системы врачебной диагностики все больше обрастают компьютерами. В онлайновую среду помещается также интеллектуальная собственность, которая приводит в движение огромные пласты нашей коммерции. Проекты чипов, новые программы, лекарственные формулы, сведения о разработке нефтяных месторождений, музыкальные и литературные произведения, кинофильмы и прочее — все это может быть украдено, изменено и уничтожено. Бесспорно, каждый коммерческий сектор имеет свой жизненно важный компонент в киберпространстве (или вскоре будет иметь).
Теперь вспомним изречение, приписываемое знаменитому грабителю банков Вилли Саттону. Когда его спросили, зачем он грабит банки, он искренне ответил: «Потому что в них есть деньги». Как вы думаете, на что будут нацеливаться знаменитые преступники будущего? Террористы? Радикальные активисты, вандалы и анархисты? Смело посмотрим в лицо действительности — самым привлекательным объектом всех видов атак станут информационные технологии. И это будущее уже наступило. Годовые потери от вирусов, взломов и онлайновых фальсификаций уже оцениваются во многие десятки миллионов долларов.
Широкое распространение такие потери получили вследствие хронической нехватки нужной информации, средств защиты и подготовленного персонала, которая усиливается плохим знанием законов рынка массовой продукции. Типичные онлайновые системы создаются на базе программного обеспечения, не предполагающего наличия средств защиты и ориентированного на совместимость со старым, еще менее безопасным программным обеспечением. Такие программы писались людьми, не имеющими представлений о защите, их тестирование сводилось к минимуму, и это программное обеспечение выпускалось к установленным срокам начала его продажи, невзирая на остающиеся в нем ошибки. Эти же самые системы затем покупались людьми, не имеющими знаний в области безопасности, устанавливались как расширение незащищенной программной базы и использовались в режиме обхода средств защиты, так как они мешали онлайновой деятельности. Слишком часто руководители полагались на услуги и программы, написанные доморощенными специалистами, чей опыт основывался на «скачивании» и запуске подготовленных другими инструментов взлома. Поэтому неудивительно, что происходит так много компьютерных инцидентов. Удивительно другое — почему их так мало!
Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и закрытой областью вычислительной техники, сравниваемой с такими новинками, как компьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то время было лишь несколько книг по информационной безопасности (не считая книг по криптографии), доступных широкому кругу компьютерных пользователей. Идея безопасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с какими-либо реальными угрозами в сфере информационных технологи!!. Интернет и компьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь некоторые книги заслуживают внимания, остальные же содержат переработку более глубоких исследований, простое перечисление уязвимых мест (которое становится непригодным через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на прохудившуюся инфраструктуру.
На этом фоне выделяются немногие эксперты, действительно понимающие «общую картину» информационной безопасности. Линда Маккарти является одним из таких экспертов, и внимательное чтение данной книги покажет вам, почему ее первое издание находится на полках большинства преподавателей и практиков. Вместо того чтобы давать готовые решения для временных «заплат», Линда использует свой опыт аудитора безопасности, консультанта, менеджера, разработчика, преподавателя и руководителя для определения и демонстрации скрытых структур и взаимоотношений, которые являются движущими силами планирования и осуществления мер безопасности. Она знает, что компьютерная безопасность зависит главным образом не от самих компьютеров, а от людей, которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать экономическую, психологическую, правовую и деловую стороны практики применения компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголовок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает главное в обеспечении безопасности; роль высших руководителей корпораций, С такого высокого уровня обеспечение информационной безопасности видится как нечто большее, чем борьба «системного администратора с хакером» — оно становится функцией по поддержанию живучести всего предприятия. Как показывает текст книги, выполнение обязанностей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы, и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.
По мере того как мы продвигаемся по веку информации, в котором защита информации становится все более важной, мы должны понять, почему в этих обоих терминах применяется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем наши знания о защите наших информационных ресурсов независимо от их местонахождения.
Главное место в нашем мышлении должны занимать не конкретный компьютер или версия операционной системы, а структуры, образующие основу для их функционирования, — социальная, экономическая и правовая. Нам всем нужно понять, что информационная безопасность не представляла бы проблемы, если бы она не была ради людей, а технологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопасностью. Технологии, несомненно, важны, но они не единственный и даже не самый главный компонент. Линда познавала эти главные истины годами и использовала их в своей карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрасно обобщенного и иллюстрированного в последующих главах.
Первое издание этой книги не являлось единственным источником для моих рассуждении о глубинах информационной безопасности. И все же его я часто рекомендовал студентам и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются вебсайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне изменит ваше представление о безопасности». Если вы ищете одну из таких книг по безопасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу в сторону… по крайней мере, пока ее не прочитаете.
Юджин X. Спаффорд.
Декабрь 2002 года