ПУТИ ТЕХНОЛОГИИ

Индустрия безопасности и законодательство "перекрывают кислород" одиночкам-исследователям

За последние несколько лет бизнес, связанный с вопросами безопасности информационных технологий, вырос до весьма значительных размеров. И это давало надежду, что коммерциализация данного направления наконец-то сделает всю нашу информацию более защищенной, но увы...

В области компьютерной безопасности сегодня действуют не только производители систем сканирования, оценки и защиты, но и множество консультационных фирм, которые выявляют уязвимость ваших систем, помогают сделать их более безопасными, своевременно информируют о новых угрозах. В настоящее время формируется целая "защитная" отрасль, а федеральные власти принимают все новые законы, способствующие стандартизации этой сферы и строгой отчетности в ней.

Но можно ли сказать, что нынешняя ситуация лучше той, что была несколько лет назад? Тогда множество исследователей и хакеров (я имею в виду умных ребят, хорошо разбирающихся во всех тонкостях дела, а отнюдь не компьютерных злодеев) непрестанно выискивали бреши в широко распространенных приложениях и на сайтах, а о своих находках оперативно сообщали всему сообществу, и это зачастую помогало производителям быстро предлагать заплаты и находить решение проблем.

Как ни печально, но ни о каком улучшении ситуации говорить не приходится. Хакер с ником Щенок Тропического Леса (Rain Forest Puppy, больше известный как rfp) недавно объявил, что не намерен впредь исследовать уязвимости. Узнать о причинах такого решения может любой посетитель сайта www.wiretrip.net/rfp/txt/evolution.txt.

Вы не знаете, кто такой rfp? Напомню: в 90-х годах он был одним из самых уважаемых хакеров и исследователей во всем сообществе компьютерной безопасности. Именно он сумел выявить серьезные проблемы с Web-сервером Microsoft IIS и инструментарием разработки этой же корпорации. Особое уважение ему принесло то, что обо всех своих открытиях он уведомлял и производителей, и своих коллег по сообществу. Я до сих пор не устаю рекомендовать выработанную им политику полной открытости под названием RFPolicy (www.wiretrip.net/rfp/policy.html), которая четко определяет отношения исследователя с производителем в случае обнаружения брешей.

rfp уходит, по крайней мере из общедоступных и свободных исследований безопасности, и винить его за это я не могу.

Помню, на меня произвела неизгладимое впечатление беседа rfp, имевшего стопроцентный вид прирожденного хакера, и подчеркнуто делового менеджера Центра реагирования на нарушения безопасности Microsoft Стива Липнера. Произошло это в 2000 г., когда Тестовый центр eWeek Labs проводил конференцию по уязвимости компьютерных систем Security Vulnerability Summit.

И вот rfp уходит, по крайней мере из общедоступных и свободных исследований безопасности, и винить его за это я не могу. Мне тоже очень не нравится нынешняя ситуация с системами защиты и исследованиями такого рода.

Посмотрите только, насколько изменилась жизнь после коммерциализации этой сферы. Превратившись в бизнесменов, специалисты в данной области первым делом обзавелись солидными коммерческими клиентами, которые, в свою очередь, потребовали особого обращения. В результате, выявив очередную проблему, бывший хакер спешит теперь доложить о своем открытии ведущим клиентам и лишь потом уведомляет о ней всех остальных. Первые получают несколько дополнительных дней безопасности, вторые же остаются уязвимыми, и все это отнюдь не делает Интернет безопаснее. Представьте себе, какой бы поднялся шум, если бы полиция сначала предупреждала о появлении очередного серийного убийцы своих особых, "золотых" клиентов и лишь после этого - нас с вами.

Согласен я с rfp и в том, что он говорит насчет тяги потребителя к "большой коробке" средств безопасности. Многие клиенты хотели бы найти всеобъемлющее решение, упакованное в одну-единственную большую коробку. В первую очередь это нужно тем, кто поторопился избавиться от специалистов в области защиты. Они считают обладание такой коробкой своего рода панацеей от всех зол, начисто забывая о рекомендациях экспертов по безопасности ресурсов ИТ.

Особенно усложняет жизнь независимых исследователей и хакеров множество новых (и зачастую конфликтующих между собой) законов, которые принимаются на самых разных уровнях - отдельными штатами, государствами, международными организациями. Федеральный закон США о патриотизме и европейский противохакерский акт, скажем, грозят исследователю судом чуть ли не за все, начиная с изучения слабых мест в сетевых приложениях и заканчивая дешифрованием сообщений. Более того, опасно становится даже пользоваться стандартным инструментарием безопасности. И последствия не заставляют себя ждать. Создатель "античервячного" инструментария La Brea Том Листон снимает свою разработку с Web-сайта, а специалисты по безопасности ищут убежища в крупных компаниях по производству коммерческих систем.

Результат налицо: желающих копаться в проблемах на благо другим становится все меньше, а число любителей попользоваться брешами для себя отнюдь не сокращается.

Ничего хорошего в этом, конечно, нет. Но я все же надеюсь, что у таких хакеров, как rfp, найдутся достойные последователи. Настоящий хакер просто не может не хакерствовать, тогда как законы, к счастью, приходят и уходят. А rfp я хочу от всей души поблагодарить за все им сделанное. Он помог закрыть очень много уязвимых мест, которые производители неминуемо постарались бы скрыть.