Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

45

Билл Гейтс, «Бизнес со скоростью мысли»:

«Полностью электронная рабочая среда обычно называется "безбумажным офисом" – термин этот существует по крайней мере с 1973 года. Тогда это было мечтой. Не будет больше кип бумаги, в которых невозможно найти нужный документ. Не будет груд книг и отчетов, в которых приходится копаться в поисках маркетинговой информации или сведений о продажах. Не будет неправильно адресованных форм, потерянных счетов, многократного ввода одних и тех же данных, отсутствующих подписей и проволочек, вызванных недостающими документами. В наши дни все необходимое для реализации этой мечты имеется. Графические компьютерные среды и усовершенствованные аналитические инструменты значительно упрощают интеграцию данных различных типов. Мощные, объединенные в сети персональные компьютеры стали повсеместным атрибутом офисной обстановки. Интернет соединяет между собой ПК, разбросанные по всему миру. Тем не менее потребление бумага продолжает удваиваться каждые четыре года, 95% всей информации в Соединенных Штатах остается на бумаге, а в электронном виде хранится лишь 1%. Объем бумаг растет быстрее, чем электронная технология успевает их заменять!»

Наиболее цитируемая книга по теме – «На пути к безбумажным информационным системам» (Lancaster F.W. Toward Paperless Information Systems. N. Y.: Academic Press. 1978). А наибольшая «головная боль» – название этой главы. Один из разделов книги Поля Страсмана «Информация в век электроники», посвященный безбумажному офису, также называется «Человеческий фактор». Так что не принципиально, на какой прошлый год ссылается Брюс Шнайер. – Примеч. ред.

46

Игра слов: «paper files» и «computer files». – Примеч перев.

47

fair coin (мат.) – симметричная монета, правильная монета. – Примеч. перев.

48

Системы поддержки пользователей в Сети (help-desk). – Примеч. перев.

49

Сквозная передача (end-to-end) означает, что только отправитель и получатель сообщения могут читать передаваемую информацию. Все промежуточные устройства, включая брандмауэр, просто пересылают зашифрованные данные дальше. Это возможно, если протокол (сетевого уровня) поддерживает сквозную передачу, например IPsec. – Примеч. ред.

50

В Соединенных Штатах процесс голосования давно был автоматизирован, и избиратель вместо заполнения бюллетеня должен нажать соответствующий рычаг в кабине для голосования. – Примеч. перев.

51

См. главу 16. – Примеч. перев.

52

Термин произошел от слова «робот». Первые боты представляли собой виртуальных противников, на которых игроки совершенствовали свою технику. В настоящее время под это понятие подпадают самые разные программы – от «вредных» до «полезных» (например, специальные боты помогают бороться со спамом в телеконференциях, удаляя письма спаммеров). – Примеч. ред.

53

Рок все же настиг Акрисия в виде бронзового диска, брошенного рукой Персея во время состязаний. – Примеч. ред.

54

RFC 2440. В настоящее время конкуренцию ему составляет Gnu PG (GPG) – открытая реализация стандарта OpenPGP. Проект был поддержан грантом от правительства Германии, впервые для открытого программного обеспечения. Русскоязычную документацию GPG можно просмотреть на сайте переводчика www inar ru/-zwon/gph html. – Примеч. ред.

55

Исследование этой уязвимости приведено в работе Шнайера «Implementation of Chosen-Ciphertext Attacks against PGP and GnuPG». Способ эксплуатирует стандартную реакцию получателя сообщения, принявшего вместо связного текста околесицу. Скорее всего, получатель вложит в письмо текст исходного сообщения, нажмет вездесущую кнопку «Ответить» и попросит переслать сообщение повторно. Дальше нет проблем. Ключ известен – сообщение расшифровано. Единственное ограничение – текст должен быть не сжатым. – Примеч. ред.

56

Создатель PGP Филип Зиммерман в руководстве пользователя к программе говорит, что «защита от подобных нападений попадает под категорию общих мер защиты от вирусных инфекций». PGP была разработана для однопользовательского персонального компьютера, а главный ключ к работе с PGP – доверие пользователя к самому себе. – Примеч. ред.

57

Медицинский термин. «Ятрогенные заболевания (от греч. Iatros – врач и ген) – психогении, обусловленные неосторожными высказываниями или поведением медицинских работников, которые создают у человека представление о наличии у него какого-либо заболевания или об особой тяжести имеющейся у него болезни.» – Примеч. ред.

58

Exploit script – наиболее близкий перевод – «сценарий использования ошибок или дефектов в программах в своих интересах». Эквивалента в русском языке пока не имеется. Наиболее подходящее определение – «имитатор атак» – введено в употребление экспертом по сетевой безопасности А. Лукацким (exploit применяется в процессе «зондирования»). – Примеч. ред.

59

Программный интерфейс шифрования Crypto API, обеспечивающий шифрование и передачу электронной подписи для приложений независимых производителей. – Примеч. ред.

60

Есть мнение, что промышленным стандартом мог бы стать стек протоколов IPX/SPX (для сетевой ОС Novell NetWare), если бы Novell не упорствовала в сокрытии «внутренностей» протоколов, а не TCP/IP. Вследствие этой политики Microsoft имела сложности при согласовании IPX с NWLink. Многие авторитеты компьютерного мира склоняются в сторону полной открытости исходного кода. – Примеч. ред.

61

Неудачный пример. «Пасхальные яйца» – неотъемлемая принадлежность большинства программных систем. Тот же симулятор полета в Excel 97 занимает ничтожную часть суммарного кода Office и скрыт от лишних глаз (переходим в ячейку X97:L97, нажав F5. Нажимаем Enter, Tab, Ctrl+Shift вместе со значком «Мастер диаграмм»). А до него – в Excel 95 – мы наблюдали встроенный Doom. В Excel 2000 мы можем поучаствовать в полноценных автогонках со стрельбой (предварительных операций нужно проделать еще больше). Списки разработчиков и даже фотографии есть почти в каждом программном продукте. Такие шалости появились одновременно с первыми программами и не могут служить аргументом в разговоре об усложнении программных продуктов. – Примеч. ред.

62

«Суть идеи прекрасно сформулирована в рассказе Рея Брэдбери "И грянул гром"… Начальные отклонения с течением времени нарастают, малые причины приводят к большим следствиям… взмах крыльев бабочки в неустойчивой системе может со временем вызвать бурю, изменить погоду в огромном регионе.» – С. П. Капица, С. П. Курдюмов, Г. Г. Малинецкий, «Синергетика и прогнозы будущего». – Примеч. ред.

63

WebTV – телеприставка от Microsoft с выходом в Интернет, предоставляет дополнительные услуги – электронная почта, просмотр веб-страниц др., считается безопасной в отношении вирусов. В начале 2000 года в форумах и телеконференциях WebTV распространился Flood Virus, первый в мире для такого рода устройств, с механизмом размножения по принципу «Мелиссы» – путем изменения подписи под размещаемыми пользователями сообщениями. Засорение форумов и досок объявлений лавиной сгенерированных сообщений выводит их из строя. Microsoft, как всегда, все опровергала («Это не вирус. На WebTV не может быть вирусов»), кивая на злонамеренный программный код. Но в 2002 году был зарегистрирован новый представитель телевирусов – WebTV 911. Пользователи (ныне MSNTV), открывшие вложение в сообщение электронной почты, не предполагали, что тем самым позволяют вирусу перезагрузить модем для входа в командный режим, после чего вирус при помощи стандартной команды hayes-модемов (+++ATH0) набирал номер 911, а полиция не заставляла себя ждать. – Примеч. ред.

64

В то время, когда печаталась эта книга, вирус SMS-Flooder уже поражал германские телекоммуникационные сети, круглосуточно затапливая их SMS-ссобщениями, пользуясь функцией саморассылки почтового клиента Microsoft; в Испании I-Worm.Timofonica рассылал SMS случайным пользователям сети MoviStar. Всего за несколько месяцев появился ряд вирусов, воздействующих на сети сотовой связи. В Норвегии некоторые такие SMS вызывали блокировку кнопок мобильных телефонов Nokia (вплоть до необходимости разрядки аккумулятора и замены SIM-карты). Это – самая малость того, что может сделать вирус, имеющий доступ к коммуникационным интерфейсам Windows (MAPI – почтовый и TAPI – телефонный), нещадно эксплуатируемым вирусами и закладками (запись переговоров, снятие денег со счета и т. д.). В интерфейс современных моделей телефонов («щелкни & звони») на радость хакерам уже заложена возможность самораспространения вирусов по принципу «Мелиссы». – Примеч. ред.

65

Версия Windows XP в некоммерческом варианте включала в себя 50 миллионов строк кода. Критика компании возымела действие; «обнаружив неожиданные» проблемы с безопасностью, Билл Гейтс убедил разработчиков сконцентрироваться на задачах безопасности, и Microsoft была вынуждена перед выпуском официальной версии убрать лишние 5 миллионов строк и более 30 уязвимостей. Windows XP действительно продвинулась вперед в сторону безопасности, как признают эксперты, но все равно – 45 миллионов строк кода, в котором «все цепляется друг за друга» (определение Петера Ньюмэна из SRI International) – «это слишком много». По словам Вильяма Малика, аналитика безопасности IT consultancy Gartner, использовать встроенный в ХР брандмауэр в качестве единственной меры защиты может оказаться ошибкой. Сокращение объема кода – явление временное, и общая тенденция именно в сторону роста. Открытое программное обеспечение гонится вослед за продукцией софтверного гиганта. Дистрибутив Linux Red Hat 7.1 насчитывает 30 миллионов строк кода. Из UNIX-систем рекордсменом по размеру является дистрибутив Debian GNU/Linux 2.2 – 55 миллионов строк. – Примеч. ред.