На страже безопасностиПароли и кредитные карты, часть 3

Йеспер М. Йоханссон (Jesper M. Johansson)

Cодержание

Перегрузка технологий обновления
Несовместимые сообщения безопасности
Всё о флажках
Призыв к оружию

В последних выпусках журнала TechNet Magazine, я говорил о том, как специалисты компьютерной безопасности и отрасль ИТ в широком смысле слова вводят в заблуждение потребителей и реально затрудняют работы по эффективной защите. В первых двух статьях этой серии я останавливался на таких вопросах, как решения, которые предоставляют вводящую в заблуждение информацию потребителям, перегружают

процесс входа в систему и вырабатывают у пользователя плохие навыки. Затем я показал множество различных примеров того, как отрасль в своем рвении показаться заинтересованной безопасностью пользователя реально делает ситуацию намного хуже, чем нужно. В данном третьем (и последнем) выпуске я покажу, как некоторые из наиболее важных доступных для пользователей технологий не оправдывают ожиданий, которые должны быть связаны у пользователей с этими решениями. Вот почему я призываю к оружию.

Перегрузка технологий обновления

Одним из основных принципов (фактически необсуждаемым требованием) для соблюдения электронной безопасности является необходимость поддерживать все обновления программного обеспечения. Почти каждый основной производитель программного обеспечения сейчас имеет несколько форм полуавтоматического механизма для поддержания как минимум некоторых своих продуктов на современном уровне. Однако на самом деле это не так просто.

Во первых, чем больше программного обеспечения у вас есть, тем большее его количество надо обновлять. И чем больше у вас поставщиков программного обеспечения, тем с большим количеством механизмов обновления вам приходится иметь дело. Это фактор путаницы.

Например, если вы только оставить параметры по умолчанию без изменения, обозреватель Internet Explorer®обновит сам себя. Но Internet Explorer на самом деле является лишь контейнером для других технологий. Потенциальное воздействие этого было продемонстрировано на конференции CanSecWest 2008г., когда Shane Macaulay (Шейн Маколей) использовал сочетание уязвимостей в Java и Adobe Flash, чтобы взломать «Макинтош». (Подробности на момент написания этой статьи были несколько скудны, так как эта уязвимость все еще не была раскрыта.) Моя точка зрения заключается в том, что никакая из этих технологий не является встроенным компонентом, и они обе доступны на большинстве компьютеров, так как широко используются в Интернете. Обе они представляют собой некоторую проблему по сохранению в актуальном виде — у каждой есть свой механизм обновления, хотя ни один из них не срабатывает очень часто.

Кроме того, большинство конечных пользователей просто не представляют, что эти технологии присутствуют и нуждаются в обновлении. Во многих случаях эти технологии были предоставлены в образе изготовителя на компьютере, который для потребителя неотличим от операционной системы. По мнению конечного пользователя, когда Windows® Update сообщает, что обновлений нет, то их нет.

Вторая проблема заключается в том, что механизмы обновления усложнены более, чем необходимо. Любой механизм обновления, который не имеет полностью автоматического режима, наверное, не получит большого распространения, так как пользователи в большинстве своем не в курсе, что им нужно запускать средство обновления. Далее, в большинстве случаев пользователь должен быть администратором, чтобы эти обновления запустить. И в самом худшем случае пользователь должен быть администратором, только чтобы получить уведомление о доступности обновления.

И, наконец, поставщики всё шире используют технологии программного обновления для развертывания совершенно постороннего программного обеспечения, которое пользователь не устанавливал — панелей инструментов и т.д. Технологии обновления программного обеспечения эволюционировали от узкой специализации для развертывания обновлений для програмного обеспечения до использования в качестве способа распространения дополнительного программного обеспечения.

Два бросающихся в глаза случая этого: служба обновлений корпорации Майкрософт (Microsoft® Windows Update) (показана на рис. 1) и обновления программного обеспечения корпорации Apple (Apple Software Update) (показано на рис. 2). Как корпорация Apple, так и Майкрософт выбрали использование своих механизмов не только для обновления программных продуктов, но и для развертывания нового программного обеспечения, которое пользователь изначально не устанавливал.

Рис. 1 Использование обновлений Windows для развертывания Silverlight (Щелкните изображение, чтобы увеличить его)

Рис. 2 Использование обновлений программного обеспечения корпорации Apple для развертывания Safari (Щелкните изображение, чтобы увеличить его)

В случае Apple вам будет предложены как iTunes, так и Safari, даже если вы установили только QuickTime. Интересно то, что они все также выбираются по умолчанию.

В случае обновлений Windows новейшее программное обеспечение, развертываемое при помощи службы обновлений, – это Silverlight™. Корпорация Майкрософт использовала эту технологию и в прошлом для распространения новых программных продуктов. К ее чести, корпорация Майкрософт по крайней мере не устанавливает по умолчанию флажок для установки нового программного обеспечения.

Этот подход по распространению нового программного обеспечения через механизмы обновления вызывает две проблемы для пользователей. Во-первых, у многих пользователей количество программного обеспечения на компьютере растет со временем. Как вы знаете, все программное обеспечение любого типа имеет ошибки, и некоторые из них могут привести к потенциальным уязвимостям, а некоторые из этих уязвимостей в конечном счете будут использованы в какого-либо рода атаках. В результате некоторое количество пользователей будут атаковано через программное обеспечение, в котором они не нуждаются или которое они даже не используют, но которое было развернуто на из компьютере механизмом обновлений.

Другим эффектом является то, что пользователи могут получить неверное представление о значении механизмов обновлений программного обеспечения. Если пользователи нашли, что механизмы обновления программного обеспечения используются для развертывания нового программного обеспечения в противоположность свежим обновлениям, они могут рассматривать механизмы обновлений как препятствие и прекратят их использование. Только представьте, что может чувствовать пользователь после того, как он был атакован через уязвимое место, пришедшее вместе с программой, которую он никогда не использует, но получил через механизм обновления программного обеспечения.

Мало что так опасно для здоровья и безопасности технологической экосистемы, как пользователи, теряющие веру в технологии, которые должны поддерживать безопасность. Единожды потеряв доверие пользователей, эти технологии будут отвергаться и в конечном счете выпадут из использования. Если технологии, настолько важные для защиты, насколько технологии обновлений, выйдут из доверия, вся технологическая экосистема будет в опасности. Именно ради защиты этой экосистемы корпорация Майкрософт распространяет обновления безопасности даже на компьютеры, на которых заведомо используется пиратское программное обеспечение.

Надо сказать, что я искренне уважаю ясный и специально сконструированный под задачу интерфейс обновлений обозревателя Mozilla Firefox, показанный нарис. 3. Я, конечно, надеюсь, что Mozilla продолжит уходить от соблазна распространения дополнительного программного обеспечения с помощью своего средства обновлений.

Рис. 3 Интерфейс обновления программного обеспечения для обозревателя Firefox — один из самых чистых в отрасли. (Щелкните изображение, чтобы увеличить его)

Противоречивые сообщения о безопасности

Было бы хорошо, если бы в отрасли были действительно приняты общие принципы формирования сообщений потребителям. Поскольку конкуренция в промышленности важна, потребители вынуждены понять, что для них следует значить безопасность. К несчастью, они не могут сделать этого, если в отрасли будет продолжаться рассылка конфликтующих сообщений. Откровенно говоря, я бы довольствовался компаниями, сообщения которых не противоречат друг другу.

Поскольку в отрасли, возможно, никогда не будут выработаны такие принципы формирования сообщений, есть как минимум необходимость быть последовательными и честными в сообщениях. Поскольку крайне важно, чтобы потребители продолжали доверять технологиям безопасности, в отрасли в целом это должно выполняться лучше.

Точно так же нужно узнать, что сегодня является по-настоящему полезным. Например, я не верю, что антивирусное программное обеспечение сейчас даже приблизительно так эффективно или является настолько важным, как заверяет отрасль. Рассмотрим компьютер, который использует мой семилетний сын, и компьютер на кухне. На обоих установлено антивирусное программное обеспечение, и за три года с момента его установки ни на одном из этих компьютеров не было никакой тревоги по какому-либо поводу. Я не хочу сказать, что нам следует отказаться от антивирусного программного обеспечения, — сейчас это ключевой компонент технологической экосистемы. Понятно, что если бы мы внезапно удалили всё антивирусное программное обеспечение, злоумышленники быстро воспользовались этим, и количество заражений увеличилось.

Ситуация сейчас такова, что в отрасли следует поднять вопросы о том, какие возможности в продуктах безопасности пользователям реально требуются, насколько эффективны эти возможности, и как компании могут донести эти потребности и пользу до потребителей. Как установлено, пользователи сейчас получают чрезвычайно много конфликтующих, преувеличенных и зачастую неверных сообщений о безопасности.

Всё о флажках

Например, отрасль программного обеспечения безопасности вся построена на наборах. Сегодня программное обеспечение безопасности распространяется практически только наборами по внешнему виду не связанных компонентов. И практически нет информации, какие из этих компонентов действительно нужны пользователям.

Это, по видимому, приводит к гонке по отметке большего количества позиций в контрольных списках. Поскольку контрольные списки предоставляют хороший способ сравнить продукты, они могут также привести к появлению компонентов, которые не необходимы или даже не желательны, или вовсе не имеют смысла. На рис. 4 – 7 показаны четыре различных списка отметок в контрольных списках от четырех различных поставщиков программного обеспечения безопасности. Будет ли надежным предположение, что продукт с 17 отметками лучше, чем продукт, у которого только 10 отметок?

Эти рисунки кажутся мне довольно забавными. На рис. 4 продукт получил отметку в контрольном списке за то, что он является новой версией. А продукт на рис. 5 получил отметку в контрольном списке вследствие того, что, по заявлению компании, «останавливает атаки с гнусных веб-узлов». Продукт на рис. 6 получил дополнительные очки вследствие того, что он «защищает детей в сети». Очевидно, никому не нужен продукт, который не сможет защитить детей. Победитель, однако, получил награду за изобретательность за наличие таких компонентов в наборе средств обеспечения безопасности, как очистка реестра и дефрагментация диска. Первый едва ли нужен вообще, а последний уже встроен в ОС. Фактически ОС Windows уже содержит решения для 15 из 17 контрольных отметок, показанных на рис. 7.

Рис. 4 Этот головной продукт получил только 10 контрольных отметок (Щелкните изображение, чтобы увеличить его)

Рис. 5 Этот продукт с 11 контрольными отметками должен быть лучше (Щелкните изображение, чтобы увеличить его)

Рис. 6 Держитесь, эти продукты имеют 12 контрольных отметок (Щелкните изображение, чтобы увеличить его)

Рис. 7 Но этот продукт с 17 контрольными отметками должен быть наилучшим решением, правда? (Щелкните изображение, чтобы увеличить его)

Кака видно, существуют некоторые тревожные тенденции. Эти продукты не только дублируют функциональность, которая уже включена в операционную систему (этот факт пока игнорируется в рекламной литературе), о них также делаются откровенно ложные заявления. Например, никакое программное обеспечение безопасности в мире не может действительно остановить атаки откуда-либо — оно только может помочь предотвратить их. Также никакой продукт не может реально скрыть ваше присутствие от атакующих.

Проблема в том, что бизнес программной безопасности в большой мере построен на защите пользователей от уязвимостей, привнесенных продуктами других производителей. Но эти производители постоянно совершенствуются в защите своих потребителей, и в результате отрасль программного обеспечения безопасности обнаруживает, что модель ее бизнеса находится под угрозой. Хотя отрасль программного обеспечения безопасности не может предложить очень многого при появлении новых рисков, все же поставщикам нужно помогать пользователям управлять риском, а не просто защищать от угроз, которые на самом деле больше угрозами не являются.

Призыв к оружию

Есть лишь одно положение, которое я бы рекомендовал читателям уяснить из этой серии из трех частей: мы как отрасль должны быть честными с пользователями и покупателями. Нужно рассказывать о рисках и о том, как пользователи могут исключить эти риски. И, в конечном счете, нужно начать оснащение людей для защиты от самих себя.

Наибольшее беспокойство во всех этих «решениях» доставляет то, что есть серьезная вероятность, что они будут очень сильно ухудшать безопасность в долгосрочной перспективе. Если пользователи и даже лица, ответственные за ИТ, на самом деле верят, что эти продукты положат конец реальным рискам безопасности, особенно всем рискам, которые они обманчиво обещают устранять, то можно потерять возможность научить людей, как реально защитить самих себя.

В качестве примера рассмотрим проверку подлинности пользователя по паролю. Если пользователи верят, что нестойкие надстройки для основанной на использовании пароля системе проверки подлинности, о которых я говорил в первой части этой серии, на самом деле их защитят, они могут еще больше расслабиться и использовать менее стойкие пароли. В худших случаях, которые я выделил в этой серии, эта технология на самом деле вынуждает пользователя использовать менее стойкую защиту, чем та, которая была бы использована в том случае, когда новая технология не была реализована. Это означает, что к тому времени, когда злоумышленики найдут, как поразить эти системы, что часто несложно, мы будем находиться даже в худшем состоянии, чем сейчас. Это может привести к серьезной проблеме доверия, в результате чего люди будут отказываться от решений, имеющих реальный смысл.

Сейчас нужно действовать для защиты технологической экосистемы, которая поддерживает наш бизнес. Новинки, конечно, должны приветствоваться, но также нужно быть очень осторожными, чтобы не позволить новинкам ради новинок заменить реальный анализ рисков. Иначе у нас будет только театр безопасности, и в конечном итоге этот театр рухнет вокруг нас.

Это остается верным для других примеров,о которых я уже говорил. Возьмите, например, что-нибудь приятное глазу, но ничего не значащее в плане безопасности,. Оно не принесет ничего хорошего пользователям, оно убаюкает их фальшивым чувством безопасности и позволит поставщикам услуг в Интернете пойти на оптимизации, которые реально нанесут косвенный урон пользователям. Между тем себестоимость предоставления адекватной информации пользователям составит всего несколько тысяч долларов или, возможно, десятков тысяч в самых крайних случаях. Является ли в действительности чрезмерной просьба к производителям потратить эту небольшую сумму на работу по защите их пользователей и бизнеса?

Это имеет множество последствий. Во-первых, должно быть изжито представление о том, что пользователи не способны принимать решения и их не следует к этому допускать. Пользователи способны научиться принимать решения. В конце концов, пользователи приняли множество решений, таких как решение о покупке компьютера или об использовании вашего узла, или о покупке одного из ваших продуктов или услуг. Подобно тому, как люди нуждаются в обучении безопасному вождению автомобиля, они должны также выучиться использовать компьютер безопасно. Сегодня атаки нацелены персонально на пользователя, и для принятия решений нельзя надеяться на технологии. Скорее, технологии безопасности должны являться системами поддержки принятия решений, предоставляя правдивую информацию в нужное время для того, чтобы пользователь смог принять разумное решение.

Некоторые из худших пользовательских интерфейсов в мире пришли из решений безопасности, так как эти приложения были спроектированы для того, чтобы либо скрыть от пользователя любое принятие решений, либо свалить на него (в неудобоваримом виде) все доступные данные. Никакой из этих подходов не работает. Первый ставит пользователя перед риском, так как от технологии не может зависеть правильный выбор. И если технология воспринимается как затрудняющая цели бизнеса пользователя, то через короткое время этой технологией перестанут пользоваться. Последний подход, между тем, не проходит из-за того, что люди не хотят ломать себе голову по поводу IP-адресов, идентификаторов процессов и других данных, которые для них ничего не значат. Они только хотят знать, что компьютер делает с их паролями и кредитными картами. Это, в конце концов, то, в чем на самом деле заключается безопасность.

Йеспер М. Йоханссон является архитектором программного обеспечения, который работает над программами безопасности, и пишущим редактором журнала TechNet Magazine. Он имеет докторскую степень по информационным системам управления, обладает более чем 20-летним опытом в области безопасности и званием наиболее ценного специалиста (MVP) Майкрософт по безопасности предприятий. Его последняя книга – Windows Server 2008 Security Resource Kit.