Многие идеи этой книги были почерпнуты автором в работах других людей. Я намеренно не прерывал повествование сносками или цитатами. В конце книги я решил поместить список некоторых наиболее полезных источников.

Некоторые специалисты открыто осуждают Интернет за то, что не поддается систематизации как архив, поскольку URL постоянно меняются. Так что вы можете использовать этот список, чтобы попытаться подтвердить или опровергнуть этот взгляд.

Работы Росса Андерсона (Ross Anderson) всегда интересны и заслуживают внимания. Его веб-сайт: www cl cam ac uk/users/rjal4/. Ищите его книгуSecurity Engineering: A Comprehensive Guide to Building Dependable Distributed Systems (John Wiley& Sons, 2000).

Марк Лойзокс, президент фирмы «Управляемые Разрушения» (Controlled Demolitions), взрывает старые здания для постройки новых. Жалуясь на «непрофессионализм» современных террористов, он утверждал в журнале Harpers Magazine (июль 1997): «Мы можем взорвать все мосты в Соединенных Штатах за пару дней… Я берусь заехать на грузовике на мост Верразано[75], взорвать мост и уехать обратно на велосипеде. И никто мне не помешает в этом».

Так как технологии усложняются, социологи приобретают более узкую специализацию. Почти для каждой области деятельности характерно, что люди, имеющие знание ее социальной инфраструктуры, также обладают знаниями по ее уничтожению.

В 1996 году была клонирована шотландская овца по имени Долли. В последовавшей за этим событием дискуссии в прессе «Тайм» и «Ньюсуик» высказывали мнение, что клонирование людей безнравственно, и необходимо законодательными мерами пресечь возможность проведения подобных экспериментов. Но все это бессмысленно. Кто-нибудь все равно попытается клонировать людей независимо от того, законно это или нет. Нужно принять это как неизбежность и попытаться понять, что с этим делать.

В компьютерном мире также невозможно обеспечить какие-либо гарантии. Технологические приемы могут отразить большинство случайных атак. Угроза уголовного наказания может удержать от преступления многих, но не всех. Попытки нарушить чьи-либо права все равно будут продолжаться. Сети будут взламываться. Мошенничество будет процветать. Деньги будут красть. Люди будут гибнуть.

Напрашивается закономерный вопрос: «Какие технологии помогут созданию продуктов, обеспечивающих безопасность, в будущем?» Конечно, криптография постоянно улучшается. Несомненно, мы все лучше и лучше проектируем брандмауэры. Будет ли это помогать? Ответ: и да, и нет. «Да» – потому что отдельные технологии непрерывно совершенствуются. «Нет» – потому что фундаментальные проблемы остаются.

Технологии развиваются. Центральные процессоры стали намного быстрее работать, чем десять лет назад, что дает возможность применять шифрование почти повсеместно. Например, можно полностью зашифровать цифровую сотовую связь с помощью сильных алгоритмов без видимого замедления работы.

Мы уже неоднократно затрагивали тему испытания средств безопасности. В главе 7 обсуждался выбор криптографических примитивов. Там же была выдвинута идея, что наилучшим способом проверки надежности криптографии является открытый криптоанализ, проводимый в течение многих лет. В главе 8 мы рассматривали различные стандарты безопасности компьютера – Оранжевую Книгу и Общие Критерии, а также проверку их соответствия этим стандартам. В главе 13 обсуждались надежность программного обеспечения и то, как ошибки оборачиваются уязвимостью. Испытания позволяют проверить работоспособность системы безопасности: одно дело смоделировать угрозы, разработать политику безопасности и применить меры противодействия, но будут ли эти меры работать на самом деле? Несомненно, вы уже приобрели солидный брандмауэр или антивирусную программу, или VPN (виртуальную частную сеть), или систему защиты от мошенничества для платного телевидения, или систему биометрического контроля, или основанную на использовании смарт-карт систему расчетов, или программу шифрования электронной почты и т. п., но достаточно ли прочна их защита? Большинство программных продуктов ненадежны, и причина кроется в недостаточности тестирования.

Даная была дочерью Акрисия, которому предсказали, что он умрет от руки сына своей дочери. Поэтому Акрисий заточил Данаю в бронзовой комнате, вдали от всего мужского рода. Зевс, воспылавший страстью к Данае, проник в ее комнату через крышу в виде золотого дождя. Даная родила Персея, и вы можете догадаться, чем закончилась эта история[53].

Если достаточно долго заниматься моделированием угроз, станет ясно, что понятие «система безопасности» имеет различные значения в зависимости от ситуации. Вот несколько примеров:

• Компьютеры, используемые в деловой сфере, должны быть защищены от хакеров, преступников и промышленных конкурентов. Военные компьютеры должны быть надежно защищены от тех же угроз, а также от проникновения вражеских военных сил. Некоторые коммерческие компьютеры, обслуживающие телефонные сети, также должны быть защищены от вторжений военных противников.

• Многие городские транспортные системы используют проездные карточки вместо наличных денег. Подобные им телефонные карты применяются повсюду и в Европе и в Азии. Такие системы обязаны быть застрахованы от всевозможных подделок. Конечно, это не проблема, если подделки обходятся дороже, чем настоящие карты.

Моделирование угроз – это первый шаг в решении проблемы безопасности. Это попытка осмыслить информацию, которую можно извлечь из ландшафта уязвимых мест. Что может оказаться реальной угрозой для системы? Если вы не знаете этого, как вы можете определить, какие меры противодействия нужно использовать?

В первой части мы теоретически рассматривали атаки: какие существуют виды нападений и нападающих. Но, как я каждый раз не устаю повторять, теория отличается от практики. Каждый, кто читает детективные романы или криминальную хронику в газетах, знает, что для осуществления нападения необходимо намного больше, чем просто найти уязвимое место. Можно считать, что нападающий с успехом использовал слабую точку, если ему удалось определить цель, спланировать атаку, сделать свое дело и скрыться. Недостатки в замке сейфа, находящегося в безопасном месте, менее существенны, чем аналогичные недостатки в банковском уличном ящике для депозитов.