(Декабрь 2002)
Гуру компьютерной безопасности Брюс Шнайер написал новую книгу.
Нечастые, но яркие и содержательные работы этого автора традиционно становятся событием в компьютерном мире.
Так было и со ставшей уже хрестоматийной «Прикладной криптографией», сконцентрированной на достаточно узкой области, и со сравнительно недавней «Секреты и ложь», более обобщенно охватывающей разнообразные аспекты компьютерной и сетевой безопасности.
Очередная книга эксперта, вне всяких сомнений, написана под большим впечатлением от тех серьезных перемен, что происходят в западном мире и особенно в США после событий 11 сентября 2001 года.
Как пишет в анонсе своей новой работы Шнайер, обществу твердят, будто оно находится ныне в условиях большей, чем когда-либо угрозы. Что необходимо изменить привычный образ жизни самым радикальным — хотя и неудобным — образом ради того, чтобы быть в большей безопасности.
Людей убеждают, что они должны, де, поступиться правами на приватность и анонимность, безропотно принимая ограничения на свои действия. Власти говорят, что полиции необходимы новые полномочия для ведения следствия, что необходимо узаконить практику шпионажа внутри страны, что надо применять американскую военную силу против стран, поддерживающих терроризм…
Почти все из того, в чем нас заверяют, говорит Шнайер – это неправда. Большинство тех перемен, которые власти просят граждан одобрить, не приводят к укреплению безопасности. Они не делают общество более защищенным. В действительности все обстоит иначе, и некоторые из этих перемен лишь ухудшают общую ситуацию.
Таковы, в самых общих чертах, те идеи, которые доказывает Шнайер в своей новой книге, только что законченной и пока не успевшей получить названия. Понятно, что это опять книга о безопасности. Но не столько о компьютерной безопасности, сколько о безопасности вообще.
Цель книги – научить читателя «думать иначе» и самостоятельно, не только отличая хорошую безопасность от никудышной, но еще и умея объяснить, почему это так.
Другая важная цель – помочь формированию у читателей чувства здорового скептицизма относительно безопасности вообще, а особенно о технологиях, окружающих безопасность. Ну а самая главная цель – убедить читателей, что хорошая безопасность – в людях, а не в технологиях.
Для достижения всех этих целей книга шаг за шагом проводит читателя по различным аспектам безопасности: что работает, что нет, почему так происходит. Излагаются общие принципы, которые читатель может использовать для понимания и оценки безопасности.
Для наглядной иллюстрации этих принципов привлекаются примеры из самых разных областей – из спорта и войн, из криминальной хроники и естественных наук, из мифологии, кино и литературы.
По наблюдениям Шнайера, безопасность реального мира во многом очень похожа на компьютерную безопасность. И не только потому, что компьютеры окружают нас сегодня повсюду. Просто одни и те же концепции и методологии позволяют осмысленно строить как компьютерную защиту, так и обеспечение безопасности в окружающей нас жизни.
Типичный и достаточно свежий пример. В конце сентября (2002) Белый дом официально издал документ под громким названием «Национальная стратегия защиты кибер-пространства». Шнайер весьма элегантно и достаточно убедительно демонстрирует, что ценности в таких документах меньше, чем в бумаге, на которой они печатаются.
Все подобные «стратегии» составляются на основе консенсуса заинтересованных сторон, а консенсус никогда ни от чего не защищал (поскольку в принципе не способен включать в себя такую сторону, как злоумышленники).
Далее, в начальном проекте этого документа были весьма сильные и резкие слова о небезопасности беспроводной связи, однако их убрали, потому что индустрия беспроводной связи не желает «за просто так» выглядеть хуже других.
Аналогично, в проекте были предложения обязать интернет-провайдеров обеспечивать своих клиентов персональными файрволами, но и этот пункт изъяли по настоянию провайдеров.
Естественно, при таком подходе в документ просто не могли попасть слова об ответственности фирм-разработчиков ПО за выпуск на рынок «дырявых как решето» программ.
В итоге рождается «стратегия», которая наполнена ни к чему не обязывающими рекомендациями и ничего конкретно не требует от тех, кто непосредственно на безопасность киберпространства влияет.
По сути своей, пишет Шнайер, безопасность – это ресурс всеобщего потребления. Как воздух, вода или радиочастотный спектр, потребление которых одними влияет и на всех остальных. И правильный способ предотвращения злоупотреблений такими ресурсами – это четкое регулирование.
Компании никогда в жизни не прекратили бы сами загрязнять реки токсичными отходами, если бы власти «рекомендовали» им это дело прекратить. Компании перестали это делать лишь после того, как правительство объявило загрязнение среды преступлением против закона.
И если ныне власти США хотят реально укрепить компьютерную безопасность, то им необходимо принять соответствующий закон (для чего и существуют правительства). Как и с загрязнением среды, закон не должен заниматься конкретными технологиями, он должен регулировать результаты.
И если сделать сами ИТ-компании ответственными за дыры в защите их систем, уверен Шнайер, то всем останется лишь поражаться, насколько быстро они сумеют укрепить свою безопасность.
Собственно, вот это и называется «думать иначе».
Подобным способом в предыдущей книге того же автора «Секреты и ложь» метафоры реального мира применялись для объяснения тонкостей компьютерной и сетевой безопасности.
В новой книге Шнайер поступает наоборот – разъясняет безопасность реального мира с помощью технологий, процессов и формализмов мира компьютерного.
Правда, хотя книга уже написана, из-за специфики издательской деятельности в продаже она появится лишь к сентябрю 2003 года.
Послесловие из 2014:
Книга в итоге вышла под названием Beyond Fear, что на русский можно перевести как «Без страха».
Конечно, всякий читатель сам решит, как трактовать это название. Но как бы там ни было, при любых обсуждениях проблем вокруг терроризма желательно понимать главное. Конечная цель преступников и властей – как это ни парадоксально (и печально) – чаще всего оказывается одной и той же: посеять среди населения страх и постоянное чувство угрозы.
kiwi arXiv 