Психология безопасности

(Август 2008)

О человеческом факторе в защите компьютеров, сетей и самого человека.

psy-sec

В самый разгар лета (2008) Массачусетский технологический институт, США, стал местом проведения весьма неординарной конференции под названием «Первый междисциплинарный семинар по безопасности и человеческому поведению» или кратко SHB 08 (от Security and Human Behavior, подробности см. www.cl.cam.ac.uk/~rja14/shb08/agenda.html).

Количество участников мероприятия было очень небольшим, меньше полусотни. А о существовании такой конференции весь остальной мир узнал лишь вместе с ее началом – из блогов организаторов да нескольких статей специально приглашенных журналистов.

Собственно говоря, и абсолютно каждый из участников семинара получил на него индивидуальное приглашение от организаторов. Но замечательна данная встреча, конечно же, вовсе не этой «секретностью».

Предыстория

Конференцию такую примерно около года назад задумали организовать два известных криптографа и эксперта по компьютерной безопасности, англичанин Росс Андерсон и американец Брюс Шнайер. Посовещавшись, они решили, что это оптимальный способ собрать в одном месте специалистов по защите информации, психологов, поведенческих экономистов, социологов, философов и других профессионалов – короче всех тех, кто так или иначе изучает человеческую сторону безопасности.

На протяжении последних нескольких лет кембриджскому профессору Россу Андерсону довелось довольно много общаться и работать с поведенческими экономистами. Иначе говоря, с учеными, которые исследуют те грани экономики и психологии, где люди делают весьма рискованные шаги и зачастую принимают рационально необъяснимые решения.

Брюсу Шнайеру, в свою очередь, тоже доводилось неоднократно делать исследования и писать на темы психологии и безопасности. При этом он не раз был поражен некоторыми из работ, которые сделаны далеко за пределами его собственной компетенции, но при этом оказываются очень тесно связаны с компьютерной безопасностью.

Ну а дальше, общаясь на одной из профессиональных встреч, Шнайер и Андерсон подумали, насколько замечательным и интересным делом могло бы стать сведение всех этих весьма разнообразных сообществ в одном месте.

Довольно скоро криптографам удалось убедить поведенческих экономистов из университета Карнеги-Меллона, Алессандро Аккуисти и Джорджа Левенстейна (Alessandro Acquisti, George Loewenstein), помочь им в организации семинара. Параллельно стали приглашать тех людей, работы которых сами с интересом читали, заодно спрашивая у них, кого еще можно было бы позвать.

Реакция со всех сторон была превосходной, так что практически все, кого пригласили, нашли возможность в конце июня приехать в Бостон и принять участие в мероприятии.

Результатом же стала конференция с 35 докладами и 42 участниками – помимо уже перечисленных профессий, следует упомянуть фокусника-иллюзиониста, мастера фотографии, архитектора и, естественно, нескольких представителей от серьезных государственных структур.

Ощущение и реальность

Можно, наверное, сказать, что главный акцент всему ходу форума задал, вряд ли того желая, один из первых докладчиков Мэтт Блэйз (Matt Blaze), профессор информатики в Пенсильванском университете. Свою речь о состоянии компьютерной безопасности он начал примерно такими словами:

«В инфотехнологической области, которая за последние несколько десятилетий была отмечена грандиозными человеческими свершениями, наше направление не назовешь иначе как провалом».

Произнесенное из уст авторитетного специалиста, столь сильное признание невольно вызвало среди собравшихся нервный смех. Однако в словах этих никакой шутки в общем-то не было.

Несмотря на бесспорные и впечатляющие достижения технологий, подавляющее большинство компьютерных пользователей по сию пору продолжает применять в точности те же самые неуклюжие процедуры безопасности, которые были и несколько десятилетий назад. При этом многие чувствуют себя менее защищенными, чем прежде.

Безопасность (как подчеркнул в своей вступительной речи Брюс Шнайер) – это одновременно ощущение и реальность. Очень желательно четко понимать, что это далеко не одно и то же – чувствовать себя в безопасности и быть в безопасности.

Давным-давно, когда язык только начинал развиваться, два данных понятия, возможно, обозначали одну и ту же вещь. Однако в современных языках так и не появилось, к примеру, конкретного слова, обозначающего «быть в безопасности, но при этом не чувствовать себя безопасно».

Из-за существенных расхождений между реальным состоянием ситуации и ее восприятием возникает масса проблем. Потому что люди принимают решения на основе своих ощущений, а не реальности.

В теории уже имеется понимание, что всякое проектирование безопасности – по природе своей дело психологическое. Однако очень многие из реально применяемых систем этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут людей к неверной оценке рисков.

Прекрасно известно, скажем, что в автомобили практически все люди садятся без страха, хотя уровень несчастных случаев здесь куда выше, чем в авиации. При этом в авиаперелетах многие обычно чувствуют себя намного менее безопасно, чем это есть на самом деле.

Другой созвучный пример – из интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, нежели ее имеется реально.

Беда в том, что подобного рода предрассудки очень успешно используются злоумышленниками. Многие из реальных атак на информационные системы эксплуатируют психологию в большей степени, нежели технологию.

Ныне все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей к заходу через фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли. Технические меры, конечно, могут предотвратить некоторые из фишинг-атак. Однако важнейшим звеном тут являются именно люди, остановить которых от глупых ходов и принятия неверных решений намного сложнее.

Ситуация на сегодняшний день такова, что атаки на основе обмана представляют самую большую угрозу для онлайновой безопасности.

Для того, чтобы быть эффективными, системы защиты должны быть удобны и понятны в использовании не только для компьютерных асов, но и для самых обыкновенных людей. А всякое исследование о практичной и удобной безопасности – не только в сети, но и в быту, в жизни, повсюду – неизбежно должно иметь психологический компонент.

Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин – от практичной безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики с другой.

[ВРЕЗКА]

Личность как пароль

Всем пользователям интернета доводилось, наверное, сталкиваться с веб-сайтами, которые желают знать о посетителе примерно такие вещи: имя первой учительницы, или имя любимого домашнего животного, или девичью фамилии матери, или, скажем, год окончания школы.

Это лишь некоторые из типичных «контрольных вопросов» регистрации, которые сайты еще раз задают своим клиентам впоследствии, если те вдруг забыли пароль доступа к своему аккаунту и хотели бы его восстановить. Как показывает практика, для многих людей задача вспомнить через несколько лет свой собственный ответ на контрольный вопрос оказывается примерно такой же сложной, как и вспомнить забытый пароль.

С другой стороны, эта же технология чрезвычайно облегчает не санкционированный владельцем доступ к аккаунту, поскольку радикально сокращает количество опробуемых вариантов пароля. Варианты с годом окончания школы перебрать просто тривиально. Что же касается других вопросов, то в сети известны, к примеру, места, где методично собраны типичные клички домашних животных, распространенные имена людей и тому подобные списки.

Понятно, что для алгоритма восстановления пароля хотелось бы иметь нечто более надежное и эффективное. Об одном из новых альтернативных решений на конференции в Бостоне рассказал Маркус Джекобсон (Markus Jakobsson), ведущий ученый PARC, Исследовательского центра Пало-Альто.

В новом методе, поэтично названном Blue Moon Authentication, при регистрации нового пользователя программа просит дать ответы типа «да/нет» на довольно длинный список вопросов о личных предпочтениях. Типа: нравится или нет вам музыка стиля панк-рок, игра гольф, блюда южной кухни?

И если затем происходит история с позабытым паролем, то клиенту предъявляется уже известный перечень вопросов. Но тут для восстановления пароля не надо ничего вспоминать – надо просто быть самим собой.

Исследования на полутысяче примерно добровольцев-студентов показали, что у людей обычно нет никаких проблем с тем, чтобы «вспомнить, кто они есть». Для злоумышленников же новый тест стал гораздо более сложной задачей – без тщательной специальной подготовки вероятность правильного ответа на все вопросы оказывается заметно меньше одного процента.

Правда, пока что не очень ясно, насколько существенными для этого алгоритма могут быть изменяющиеся за несколько лет персональные предпочтения людей.

[КОНЕЦ ВРЕЗКИ]

Идеи и вопросы

В краткой обзорной статье невозможно, конечно, рассказать обо всех докладах, сделанных на бостонском семинаре. Однако несколько заметных выступлений – для общего впечатления – упомянуть вполне уместно.

Джин Кэмп (Jean Camp), исследовательница из Университета Индианы, рассказала о ментальных моделях, которые используют опытные и неопытные компьютерные пользователи при оценке возможных рисков в онлайне.

Как правило, отметила Кэмп, люди довольно легко могут оценивать риски, когда располагают физическими ключами к ситуации. Например, при поиске стоянки для автомашины водители имеют естественную склонность избегать темные и безлюдные площадки.

Беда в том, что в онлайне почти нет никаких физических ключей подобного рода для оценки потенциальной опасности сайта. Из-за этого пожилые люди, в частности, при заходе в интернет обычно не чувствуют себя безопасно.

Конкретные проблемы доверия к сети Кэмп изучает вместе с обитателями находящегося по соседству с ней дома престарелых. Как вариант решения, она изготовила большой, мерцающий разными цветами бокс, который расположен рядом с дисплеем и управляется специальной программой. На основе множества характеристик алгоритм программы оценивает каждый из посещаемых сайтов, а сигнальный бокс, соответственно, светит зеленым, когда сайт рекомендован как безопасный, и красным, когда рискованным.

В таких условиях дедушки-бабушки чувствуют себя комфортнее и более склонны воспользоваться преимуществами интернета для регулярных связей со своей семьей.

С другой стороны, интенсивная борьба за то, чтобы люди чувствовали себя более безопасно, порой может приводить и к прямо противоположному эффекту.

Фрэнк Фьюреди (Frank Furedi) известный британский автор по проблематике рисков и страхов в обществе, описал в своем докладе нарастающую истерию, как он это называет, по поводу педофилии в Великобритании. К следующему году, говорит Фьюреди, треть всех британских граждан будет обязана стать объектом проверки со стороны полиции. Как результат этого, некоторые родители запретят своим детям играть с теми детьми, родители которых такую проверку не проходили.

То есть по сути, отмечает докладчик, теперь нас тревожат уже не педофилы – мы беспокоимся по поводу людей, которых полиция не проверила. Иначе говоря, в ответ на небезопасность общество порождает еще больше источников небезопасности. Довольно часто, отмечает Фьюреди, для властей гораздо легче создавать видимость безопасности, нежели реальность безопасности.

Среди свежих и нестандартных идей, обсуждавшихся на конференции, прозвучала, к примеру, такая. Компьютеры в общем итоге получились, быть может, чересчур доброжелательными к человеку.

Сенсоры опасности, данные людям от природы, довольно неплохо работают, скажем, при употреблении плохой пищи. Или предупреждая о том, например, что поблизости может быть нечто опасное, вроде голодного медведя. Однако эти сенсоры совершенно никуда не годятся для предупреждения о кибер-угрозах.

А разработчики программ и железа, со своей стороны, затратили массу усилий, чтобы сделать компьютер максимально дружелюбным к пользователю. Быть может, это была ошибка. Так, по крайне мере, считает Николас Хэмфри (Nicholas Humphrey ) из Лондонской школы экономики.

Порой здоровый «первобытный» страх мог бы очень помочь осторожности в онлайне. Например, на экране могла бы неожиданно появляться здоровенная акулы – дабы пробить человека до примитивных страхов и освежить его бдительность.

Эксперт по приватности Алессандро Аккуисти привлек похожую концепцию из педагогики – идею «момента научения». Сотрудники фирм, как известно, очень редко с охотой читают или конспектируют инструкции по безопасности. Однако если устроить им нечто типа живых противопожарных учений, поведение и реакция могут измениться быстро, причем очень существенно.

Представим, к примеру, что раз эдак в месяц ИТ-департамент без предупреждения рассылает всем сотрудникам вполне благонамеренного вида электронное письмо, к которому, однако, прицеплен какой-нибудь ложный вирус. Те сотрудники, что попадутся на эту уловку и откроют приложение, тут же получат нагоняй от начальства и грозное напоминание не кликать те файлы, которые не были непосредственно заказаны получателем.

В более критических обстоятельствах прокол в подобных случайных проверках может отразиться в ежегодной характеристике или на карьерном росте. В условиях контролируемого теста, говорит Аккуисти, компьютерные пользователи гораздо быстрее обучаются принципам безопасного поведения, нежели при традиционном изучении инструкций.

[ВРЕЗКА]

Парадоксы приватности

Цифровые коммуникации очень выпукло продемонстрировали, сколь противоречиво люди воспринимают тайну личной жизни. С одной стороны, право личности на приватность по-прежнему никем всерьез не оспаривается и считается одной из основ современной цивилизации. С другой же стороны и молодежь, и народ постарше с энтузиазмом и массой подробностей расписывают свою личную жизнь в социальных сетях типа Facebook или «В контакте», без колебаний раздают свои паспортные данные и реквизиты других важных документов, с удовольствием используют доступные возможности по отслеживанию перемещений с помощью сотовых телефонов или GPS-навигаторов.

Некоторые ученые ныне всерьез занялись изучением это парадокса с восприятием приватности. На конференции в Бостоне было рассказано об одном из таких исследований, проведенном группой поведенческих экономистов в университете Карнеги-Меллона (George Loewenstein, Leslie John, Alessandro Acquisti). Центральный вывод работы: принципы приватности очень неустойчивы и люди им следуют (или, напротив, не следуют) в сильнейшей зависимости от того, кто интересуется их личной жизнью, как именно это делается и в каком контексте. Причем зависимости эти зачастую оказываются далеко не очевидными.

Конкретные исследования проводились над несколькими группами студентов на предмет, к примеру, их участия в противозаконных действиях. В одном случае испытуемым гарантировали конфиденциальность опроса, заверив, что никакая информация из их ответов не пойдет никуда дальше. Казалось бы, это должно было сделать людей более откровенными. Вышло же с точностью до наоборот.

От таких заверений студенты напряглись и замкнулись. Лишь 25%, к примеру, признали, что списывали чужие работы. С другой стороны, когда опрашиваемых никто ни в чем не заверял, в списывании признались больше половины. Как сформулировали этот парадокс теоретики, «чем меньше человек задумывается о приватности, тем ниже выставляет ограничительные барьеры».

В другом эксперименте студентам предлагалось ответить на вопросы о неблаговидном поведении в условиях двух сайтов. Один – оформленный строго официально в соответствии с канонами научно-исследовательских работ, другой – весьма неформального вида, с изображением ухмыляющегося беса и заголовком типа «Ну, колитесь, чуваки…».

И здесь исследования показали, что опрашиваемые с куда большей готовностью признаются о своих весьма деликатных грешках (вплоть до экспериментов с кокаином) в условиях «несерьезного» сайта, нежели в строгом антураже науки.

[КОНЕЦ ВРЕЗКИ]

Некоторые итоги

Подводя итог конференции, нельзя, конечно, говорить, что мероприятие завершилось революционным прорывом в понимании того, как решать психологические проблемы безопасности. Все докладчики, по сути, сделали обзоры своих областей исследования или рассказали об уже опубликованных ранее работах.

Но именно в этом и была цель конференции – собрать под одной крышей людей с общими интересами, но очень широким профессиональным разбросом, чтобы они продуктивно побеседовали друг с другом. А еще лучше, сумели бы наладить регулярные контакты для сотрудничества. По всеобщим оценкам, замысел этот удалось реализовать на редкость удачно.

Под конец встречи от участников не раз можно было услышать следующую мысль. Идеи, факты и суждения того типа, что звучали здесь с трибуны или за круглым столом дискуссий, на других конференциях можно услышать лишь где-нибудь в холлах или барах.

Важнейшую роль в достижении столь доверительного уровня общения сыграла форма организации встречи. В одном из блогов-комментариев участника это было объяснено примерно так.

Суть огромного успеха этого междисциплинарного семинара была в том, что всех людей на сессиях и дискуссиях перемешали, так что каждый имел возможность пообщаться практически со всеми остальными. А не кучковаться, как это обычно бывает, по группкам специалистов одного и того же направления.

Весьма остроумным ходом организаторов было сделать минимальное количество стульев в аудитории. Из-за этого каждый закончивший выступление докладчик должен был меняться местами со следующими докладчиками, занимая их место в аудитории. Поскольку расписание докладов было весьма насыщенным, эта схема по сути принудительно перемешивала людей. А многочисленные перерывы давали массу возможностей для знакомства новых соседей и их свободного общения.

Одна из главных надежд – что эта встреча даст толчок еще большему росту междисциплинарных дискуссий и работ. Появилась даже идея об организации своеобразной «службы знакомств», которая поможет исследователям из разных областей найти друг друга. Примерно по такой схеме: «Я экономист, изучающий затраты на антивирусное программное обеспечение, ищу психолога, специалиста по первичным страхам перед хищниками».

И кто знает, быть может ныне происходит рождение совсем новой исследовательской дисциплины. Названия для нее, правда, пока не придумано.

МЕЖКОЛОННЫЕ ВРЕЗКИ

Известный иллюзионист Джеймс Рэнди в своем докладе раскрывал секреты, на которых держится искусство обмана людей. Очень часто, признался он, иллюзионисты в действительности не знают, почему срабатывают их трюки. Они просто срабатывают.

* * *

Криминальным хакерам давным-давно известен короткий путь к успеху, именуемый «социальный инжиниринг». На то, чтобы хакнуть банк, не нужны годы подготовки, если умеешь правильно попросить владельца счета – так, что он сам отдаст и свой логин, и пароль к нему.

* * *

Терроризм воспринимают как главную угрозу обществу. Однако реальный урон, наносимый террористическими атаками, оказывается куда меньшим, чем вторичные эффекты, возникающие из-за явно чрезмерной реакции атакованного общества.

The END