Подобно профилактике болезни, компьютерная защита должна предохранять нас от возможных вредных событий, но при этом сохранять большинство возможных выгод и удобств, связанных с работой в сети. В основе дебатов о методах защиты лежат два конкурирующих подхода: «защита через незнание», в основе которого лежит убеждение, что сокрытие информации о дефекте защиты предотвратит его эксплуатацию, и «полное раскрытие», который основан на предпосылке, что «предупрежден – значит вооружен». Второй метод сейчас предпочитает большинство профессионалов.
Рассмотрим, для начала, первый путь: защита через незнание. Его при обнаружении уязвимостей предпочитают в Microsoft, но им не гнушаются и другие компании, такие как Intel и Novell. В принципе, данный путь был общепринятой нормой в начале эры компьютеров, а затем и сетей. Если кто-нибудь обнаруживал сбои в работе программ или оборудования, он просто информировал производителя о проблеме. Часто ему за это полагалась какая-нибудь премия. Все тихо, без фанфар, весь остальной мир оставался в счастливом неведении, пока производитель тихо не устранял обнаруженный «глюк». Microsoft стал большим энтузиастом этой модели, потому что данный путь не нарушает тишины и спокойствия и не противоречит маркетинговой пропаганде. Однако при данном варианте нет большого стимула быстро искать и устранять ошибку. Нет никакого давления возмущенной общественности, никаких последствий. Следовательно, множество серьезных уязвимостей могло сохраняться на компьютерах пользователей в течение многих лет.
Но постепенно стал доминировать другой подход. При обнаружении ошибки исследователи стали информировать общественность. Возможно, причиной стало недовольство доминированием Microsoft на рынке, может быть, причиной стали имевшие место случаи, когда, быстро устранив сбой, Microsoft вообще отрицала факт имевшей место ошибки.
В любом случае, исследователи, обнаружившие ошибку, стали публиковать выполняемый код для того, чтобы подтвердить, что обнаруженный ими сбой действительно имел место. Из-за неспособности и далее скрывать факт ошибок, Microsoft, используя свои финансовые и политические рычаги, инициализировала кампанию против "хакеров", которых тонко приравняла с преступниками. Сегодня Microsoft называет сторонников полного раскрытия информации о пробелах в защите "информационными анархистами" и даже, после событий 11 сентября, приравнивает их с террористами, подрывающими общественное спокойствие.
Microsoft продолжает доказывать, что публикации выполняемого кода, дают «плохим парням» готовые инструментальные средства нападения. Но это не предполагает ситуации, когда «плохие парни» по каким-то каналам уже знали об ошибке и активно ее эксплуатировали. А ведь такая ситуация вполне реальна. В случае же, если информация опубликована, и каждый желающий может получить подробную информацию о «дыре», то правила игры вполне определены. Производитель вынужден бросить все свои силы на немедленную ликвидацию проблемы в защите, и даже сам заинтересован в скорейшем распространении разработанной «заплаты». Весьма очень просто, полное раскрытие вынуждает продавцов исправлять свои программы в кратчайшие сроки. Жаль, конечно, что они нуждаются в этом способе понукания, но факты из истории иллюстрируют, что во многих случаях это просто необходимо.
Печально, что много обычных пользователей пострадали. Сбои в защите продуктов Microsoft за последние несколько лет стоили американскому правительству, многочисленным крупным и мелким предприятиям, да и просто домашним пользователям, по разным оценкам, от пяти до двадцати пяти миллиардов долларов ущерба. Конечно, большие потери из-за проблем в защите были и у пользователей других систем, но из-за доминирования продуктов Microsoft на рынке и нацеленности большинства вирусных и хакерских атак именно на эти программы, потери пользователей других систем оказались на порядки меньше. Вирусы ILOVEYOU, Мелисса, Code Red, Goner являются лишь самыми известными из целого списка сетевых червей. В результате, миллионы пользователей потеряли целые жесткие диски информации или просто ценные файлы, или что еще обиднее, стояли беспомощно рядом с компьютером, наблюдая, как информация об учетных записях, паролях, секретных файлах, личных фотографиях похищалась с компьютера или рассылалась по сети. Если бы существовало такое понятие, насилие над данными, это было бы как раз этот случай.
Корпорации потратили бесчисленные суммы, производя чистку своих систем от дефектов, такие «вторичные», непрямые потери даже трудно просчитать. А ведь наблюдается резкое уменьшение производительности труда в офисе, в котором в связанном вместо обычной работы происходит переустановка программного обеспечения. И даже небольшое время простоя - серьезные деньги для любой компании, большой или маленькой, зарабатывающей себе на проживание на чем-либо, связанном с Internet. Так почему законы ответственности за качеством изделия не распространяются на программную промышленность? Почему получается, что один набор законов применяется, допустим, к автопромышленности, но совсем другой - для самого крупного поставщика информационных цифровых услуг?
Причем имейте в виду, что весь этот информационный погром был вызван отнюдь не профессионалами, а, в основном, любителями-тинэйджерами, работающими совершенно в другой области, и чередующими атаки на скрипты с молодежными тусовками или уличным баскетболом. И, независимо от вреда, который они причинили и продолжают причинять своим жертвам, отнюдь не подпадают под образ матерых преступников или террористов, который им клеит Microsoft, и, скорее, вызывают улыбку или даже восхищение своими «подвигами».
Если 11 сентября и научило нас чему-либо, так это тому, что все является уязвимым, и зачастую наиболее прямолинейными и простыми способами. Массивные сбои в работе Internet, запущенные через дефекты программ Microsoft в прошлые годы были вызваны, прежде всего, прыщавыми любителями. Фактически, сейчас предполагается, что не существует компьютерных ученых на службе у исламских террористов, что нет желающих «получить место на небесах», эксплуатируя ошибки распространенных программ крупнейшего производителя программного обеспечения «страны Дьявола»? Метод защиты Microsoft «через незнание» только даст этим террористам исключительное преимущество, потому что они будут искать, найдут и будут использовать дыры, о которых никто даже и не подозревает...
Одно найти легче, чем другое. Спойлер: это не темная материя