БЕЗОПАСНОСТЬ

Деннис Фишер

До недавнего времени бреши в системе защиты выявлялись, как правило, случайно, а сообщали о них разработчики, эксперты безопасности и другие специалисты. Известия же об обнаруженных утечках распространялись весьма неторопливо, узнать о них можно было разве что на сетевых форумах или на тематических лекциях.

Но сейчас проявился совершенно новый феномен: гигантская армия исследователей буквально наперегонки друг с другом бросилась на поиски очередных уязвимых мест в Windows, Apache и т. д.

Появилось к тому же множество перекрывающих и дополняющих друг друга списков рассылки, в которых публикуются сообщения о сделанных открытиях. Оперативную информацию о намечающихся проблемах с ПО, например, администраторы и прочие специалисты ИТ всегда могут найти в списках BugTraq и Full Disclosure.

Однако рост гласности и усиление внимания к вопросам безопасности привели к тому, что за последние годы это сообщество пополнилось множеством не слишком-то опытных и дисциплинированных членов. В результате известия о брешах стали выходить еще до выпуска заплат под них, бюллетени из исследовательских компьютеров безо всякой на то санкции публикуются в Сети...

В таком хаосе у специалистов безопасности все чаще возникает вопрос: чего больше - добра или зла - несут такие поиски уязвимых мест и сообщения о них? Ведь, во-первых, в любом ПО имеется множество потенциальных брешей, поэтому выявление и латание нескольких дыр в год едва ли может способствовать повышению общей безопасности. А во-вторых, публикации о таких открытиях читают не только добропорядочные граждане, но и злоумышленники, и последствия здесь могут быть самые плачевные.

"Суть не в том, что специалист не может обнародовать свои выводы; такого права, естественно, его никто лишить не может. Более того, если брешь обнаружена, но о ней молчат, это может быть использовано против нас, - считает Пит Линдстром, директор по исследованиям фирмы Spire Security. - Но мы хотим продемонстрировать: те, кто считает полную открытость благим делом, приносят больше вреда, чем пользы. Только представьте себе, насколько безопаснее стал бы мир, если бы те классные специалисты, которые изо дня в день неустанно изыскивают программные бреши, взялись бы за разработку систем защиты".

Другие противники полной открытости ссылаются на человеческий фактор. Прежде всего результаты исследований и анекдотические истории свидетельствуют о том, что мало кто торопится устанавливать заплаты даже в тех случаях, когда цена риска велика. Свежий пример тому - ошибка в Microsoft SQL Server 2000, ставшая причиной распространения червя Slammer. Соответствующую заплату корпорация выпустила еще в июле 2002 г., предупредив своих клиентов, что без нее на скомпрометированной машине кто-нибудь вполне может запустить свою программу. И что же? Шесть месяцев спустя, уже в нынешнем январе, по Интернету пронесся Slammer, заразив за какие-то четверть часа сотни тысяч машин, так и оставшихся без заплаты.

Не стоит сбрасывать со счетов и того, что хакеры редко, если только вообще когда-либо, проводят атаки на бреши, неизвестные экспертам. Оно и понятно: коль скоро существует такое обилие хорошо документированных и не закрытых заплатами дырок, то зачем изыскивать что-то необычное?

На все эти аргументы есть, однако, один часто повторяемый ответ: сообщения о брешах в системе безопасности, через которые может пробраться хакер, дают администраторам шанс залатать их. Другими словами, лучше знать свои слабые места, чем жить во тьме неведения.

"Не будем обманывать себя. Злоумышленники тоже ищут бреши, а когда находят их, никому об этом не говорят. В результате они получают контроль над машинами по своему желанию, - предостерегает Дэвид Литчфилд, один из основателей английской фирмы Next Generation Security Software, известный своими исследованиями в области безопасности. - А те, кто ищет такие же бреши, чтобы совместно с производителями заделать их, хоть немножко уравновешивают положение. Сегодня найти новое уязвимое место намного сложнее, чем год назад. Все плоды, которые, так сказать, висели низко, уже сорваны. И это хорошо. Хакерам теперь приходится тратить на поиски секретных лазеек гораздо больше времени и ресурсов, а шансов найти искомое у них становится все меньше".