ЭПИЦЕНТРЫ
Питер Коффи
В свое время я писал о провале попыток применить традиционный подход к обеспечению информационной безопасности (ИБ). Я утверждал, что нельзя контролировать перемещение информационных активов просто просматривая сообщения, поскольку их истинное содержание легко замаскировать. Даже если вы никогда не расстаетесь со своими данными, вы не можете быть уверены, что сегодня у вас в руках то же самое, что было вчера: биты информации слишком легко подменить, не оставив никаких следов.
Я утверждал, что ИБ требует перенесения акцента на взаимоотношения между теми, кто создает данные, и теми, кто обладает правом доступа к ним, их обновления и изменения. Такая постановка вопроса коренным образом отличается от принятой при обеспечении физической безопасности - запереть склад и следить, кто и что пытается вынести. Но, похоже, значительная часть расходов на информационную безопасность растрачивается впустую в попытках заимствовать методы обеспечения физической защиты.
Когда я писал эту статью, на память пришла известная история с "культом авиабазы". После второй мировой войны жители островов южной части Тихого океана стали тщательно имитировать действия военных, побывавших там во время войны. Аборигены строили взлетно-посадочные полосы, создавали из соломы нечто похожее на самолеты, пытались возводить диспетчерские вышки и даже вырезали из дерева нечто, напоминающее наушники и другую аппаратуру связи. И хотя макеты были сделаны на совесть, регулярно прилетавшие ранее самолеты с едой и одеждой так и не появились и не выгрузили свои богатства.
Так и другие технологии не приносят плодов тем, кто лишь имитирует форму, но не в состоянии понять суть. Вы можете построить бункер для хранения информации и поставить у дверей вооруженную охрану. Но если в арсенале "плохих парней" имеются стеганография и хакерские инструменты, стража не поможет.
Пытаясь узнать, где еще были отмечены проявления "культа авиабазы", я обнаружил, что этот термин применялся и к некорректному использованию информационных технологий. В Интернете можно найти много версий знаменитого "Сборника жаргонизмов" (Jargon File), см., например, сайт известного хакера и эссеиста Эрика Раймонда (www.catb.org/~esr/jargon). Этот сборник определяет "кодирование в духе культа авиабазы" как "стиль (некомпетентного) программирования, характеризующийся ритуальным включением кода или программных структур, которые не служат достижению какой-либо реальной цели".
Сколько ненужного кода, уже не выполняющего никаких полезных функций и даже создающего бреши в системе защиты, по-прежнему сохраняется в наших системах? |
Когда я читал это определение, у меня в голове раздался слабый сигнал тревоги. Я вспомнил о том времени, когда мне приходилось производить обратный инжиниринг кода, написанного кем-то другим. Или даже мною самим, но много лет назад. Не помню, чтобы я когда-либо поднимал руки вверх и говорил: "Я не знаю, почему этот фрагмент кода находится здесь или зачем он нужен, но на всякий случай его сохраню". С другой стороны, мне известны люди, которые оказываются в подобной ситуации. Но при этом они имеют дело с гораздо более сложными системами, работают с современными ИТ в условиях нехватки специалистов, сжатых сроков и под безжалостным давлением рынка. Я понимаю, какому искушению они подвергаются.
Можно только удивляться, сколько ненужных строк кода вводится в наши системы. Он уже не выполняет никаких полезных функций, а возможно, даже одним своим присутствием создает бреши в системе защиты.
Когда код используется повторно и особенно когда он получен от внешних разработчиков или в виде Web-сервисов, складываются условия для возникновения "культа авиабазы". В исходном коде могут подразумеваться неизвестные соглашения об именованиях. Проектная документация и сопроводительные записки могут быть написаны на незнакомом языке или людьми, которые не слишком хорошо владеют им. У нас даже может не оказаться исходника. Нередко все, что мы имеем, - это WSDL-описание (Web Services Description Language - язык описания веб-сервисов) или какое-то иное определение интерфейса.
Деревянным наушникам могут даваться причудливые названия вроде проектных "шаблонов" (design patterns). Но все равно их наличие указывает, что мы, возможно, вместо создания систем на основе глубокого понимания их сущности строим конструкции, которые лишь внешне похожи на работавшие раньше.
"Прежде всего вы не должны дурачить самих себя", - сказал физик Ричард Фейнман, выступая в Калтехе на церемонии присвоения ему ученой степени в 1974 г. Многие считают, что именно в той его речи впервые был упомянут "культ авиабазы". Во всяком случае в том значении, которое ему придают программисты. С Фейнманом трудно не согласиться: повторное использование кода, смысл которого непонятен, или применение привычных методов просто потому, что они нам уже знакомы, - верный повод насторожиться.
С Питером Коффи, редактором по техническим вопросам, можно связаться по адресу: peter_coffee@ziffdavis.com.
